Ataki DOS i DDoS: koncepcja, rodzaje, metody wykrywania i ochrony. Atak DDoS – co to jest? Jak przeprowadzane są ataki ddos ​​na poszczególne adresy IP

Rozproszone ataki typu „odmowa usługi”, w skrócie DDoS, stały się częstym zjawiskiem i poważnym problemem dla właścicieli zasobów internetowych na całym świecie. Dlatego ochrona przed atakami DDoS na stronę internetową nie jest dziś dodatkową opcją, ale warunkiem koniecznym dla tych, którzy chcą uniknąć przestojów, ogromnych strat i nadszarpniętej reputacji.

Powiemy Ci bardziej szczegółowo, czym jest ta choroba i jak się przed nią chronić.

Co to jest DDoS

Rozproszona odmowa usługi lub „Rozproszona odmowa usługi” - atak na System informacyjny tak, że nie jest w stanie przetwarzać żądań użytkowników. W prostych słowach DDoS polega na przytłaczaniu zasobu internetowego lub serwera ruchem z ogromnej liczby źródeł, powodując jego niedostępność. Często taki atak ma na celu sprowokowanie przerw w pracy zasoby sieciowe w dużej firmie lub organizacji rządowej

Atak DDoS jest podobny do innego popularnego zagrożenia internetowego, Denial of Service (DoS). Jedyna różnica polega na tym, że typowy atak rozproszony pochodzi z jednego punktu, podczas gdy atak DDos jest bardziej powszechny i ​​pochodzi z różnych źródeł.

Głównym celem ataku DDoS jest uniemożliwienie odwiedzającym dostępu do witryny internetowej poprzez zablokowanie jej działania. Ale zdarzają się przypadki, gdy takie ataki są przeprowadzane w celu odwrócenia uwagi od innych szkodliwych wpływów. Atak DDoS może zostać przeprowadzony na przykład w przypadku naruszenia bezpieczeństwa systemu w celu przejęcia bazy danych organizacji.

Ataki DDoS ujrzały światło dzienne w 1999 roku, kiedy miała miejsce seria ataków na strony internetowe dużych firm (Yahoo, eBay, Amazon, CNN). Od tego czasu ten rodzaj cyberprzestępczości stał się zagrożeniem o zasięgu globalnym. Zdaniem ekspertów, w ostatnich latach ich częstotliwość wzrosła 2,5-krotnie, a maksymalna moc zaczęła przekraczać 1 Tbit/s. Co szósta osoba przynajmniej raz stała się ofiarą ataku DDoS. Rosyjska firma. Do 2020 roku ich łączna liczba osiągnie 17 milionów.

Platforma hostingowa z całodobową ochroną przed najbardziej wyrafinowanymi atakami DDoS.

Przyczyny ataków DDoS

  1. Osobista animozja. Często zachęca atakujących do atakowania korporacji lub firm rządowych. Na przykład w 1999 r. zaatakowano strony internetowe FBI, w wyniku czego przestały działać na kilka tygodni. Stało się tak, ponieważ FBI rozpoczęło zakrojony na szeroką skalę nalot na hakerów.
  2. Protest polityczny. Zazwyczaj tego typu ataki przeprowadzają haktywiści – specjaliści IT o radykalnych poglądach na protesty obywatelskie. Dobrze znanym przykładem jest seria cyberataków na estońskie agencje rządowe w 2007 roku. Ich prawdopodobną przyczyną była możliwość rozbiórki Pomnika Żołnierza-Wyzwoliciela w Tallinie.
  3. Rozrywka. Obecnie coraz więcej osób interesuje się DDoS i chce spróbować w nim swoich sił. Początkujący hakerzy często przeprowadzają ataki dla zabawy.
  4. Wymuszenia i szantaż. Przed rozpoczęciem ataku haker kontaktuje się z właścicielem zasobu i żąda okupu.
  5. Konkurs. Ataki DDoS można zlecić pozbawionej skrupułów firmie w celu wywarcia wpływu na jej konkurencję.

Kim są potencjalne ofiary?

DDoS może zniszczyć witryny dowolnej wielkości, od zwykłych blogów po największe korporacje, banki i inne instytucje finansowe.

Według badań przeprowadzonych przez Kaspersky Lab atak może kosztować firmę nawet 1,6 miliona dolarów. Jest to poważna szkoda, ponieważ zaatakowany zasób sieciowy nie może być obsługiwany przez jakiś czas, co powoduje przestoje.

Najczęściej strony internetowe i serwery padają ofiarą ataków DDoS:

  • duże firmy i agencje rządowe;
  • instytucje finansowe (banki, spółki zarządzające);
  • usługi kuponowe;
  • instytucje medyczne;
  • systemy płatności;
  • Agregatory mediów i informacji;
  • sklepy internetowe i firmy zajmujące się handlem elektronicznym;
  • Gry i usługi w zakresie gier online;
  • giełdy kryptowalut.

Niedawno na smutną listę częstych ofiar ataków DDoS dodano urządzenia podłączone do Internetu, zwane łącznie „Internetem rzeczy” (IoT). Największą dynamikę wzrostu w tym obszarze wykazują cyberataki, których celem jest zakłócanie działania kas internetowych dużych sklepów czy centrów handlowych.

Mechanizm działania

Wszystkie serwery internetowe mają swoje ograniczenia dotyczące liczby żądań, które mogą przetwarzać jednocześnie. Dodatkowo obowiązuje ograniczenie przepustowości kanału łączącego Sieć z serwerem. Aby ominąć te ograniczenia, napastnicy tworzą śieć komputerowa ze złośliwym oprogramowaniem, zwanym „botnetem” lub „siecią zombie”.

Aby utworzyć botnet, cyberprzestępcy rozpowszechniają trojana za pośrednictwem biuletynów e-mailowych, sieci społecznościowych lub stron internetowych. Komputery wchodzące w skład botnetu nie mają ze sobą fizycznego połączenia. Łączy ich jedynie „służenie” celom właściciela hakera.

Podczas ataku DDoS haker wysyła polecenia do „zainfekowanych” komputerów zombie, a te przeprowadzają atak. Botnety generują ogromny ruch, który może przeciążyć każdy system. Głównymi „obiektami” DDoS są zazwyczaj przepustowość serwera, serwer DNS i samo połączenie internetowe.

Oznaki ataku DDoS

Kiedy działania atakujących osiągną swój cel, można to natychmiast rozpoznać po awariach w działaniu serwera lub hostowanych na nim zasobów. Istnieje jednak szereg pośrednich oznak, dzięki którym już na samym początku można dowiedzieć się o ataku DDoS.

  • Oprogramowanie serwera i system operacyjny uruchamiają się często i wyraźnie porażkę- zamrożenie, nieprawidłowe zamknięcie itp.
    • pojemność sprzętu serwera, co znacznie odbiega od średniej dziennej.
  • Nagły wzrost przychodząceruch drogowy w jednym lub kilku portach.
  • Wielokrotnie zdublowane akcje tego samego typu klientów na jednym zasobie (przejście na stronę internetową, przesłanie pliku).
  • Podczas analizy logów (dzienników działań użytkowników) serwera, firewalla czy urządzeń sieciowych natrafiono na taki przypadek wiele próśb tego samego typu z różnych źródeł do jednego portu lub usługi. Należy zachować szczególną ostrożność, jeśli odbiorcy żądań znacznie różnią się od odbiorców witryny lub usługi.

Klasyfikacja rodzajów ataków DDoS

Ofensywa protokołu (warstwa transportowa)

Atak DDoS jest wymierzony w warstwę sieciową serwera lub zasobu internetowego, dlatego często nazywany jest atakiem na warstwę sieciową lub warstwę transportową. Jego celem jest przeciążenie obszaru tabel w zaporze ogniowej opartej na logach, sieci centralnej lub systemie równoważenia obciążenia.

Najpopularniejszą metodą DDoS w warstwie transportowej jest powódź sieci, tworząc ogromny strumień fikcyjnych żądań na różnych poziomach, których węzeł odbiorczy fizycznie nie jest w stanie obsłużyć.

Zazwyczaj usługa sieciowa korzysta z reguły FIFO, co oznacza, że ​​komputer nie przystępuje do obsługi drugiego żądania, dopóki nie przetworzy pierwszego. Jednak podczas ataku liczba żądań wzrasta tak bardzo, że urządzenie nie ma wystarczających zasobów, aby zrealizować pierwsze żądanie. W rezultacie powódź maksymalnie nasyca przepustowość i całkowicie zatyka wszystkie kanały komunikacyjne.

Typowe rodzaje zalań sieci

  • Powódź HTTP- do zaatakowanego serwera wysyłana jest masa zwykłych lub zaszyfrowanych wiadomości HTTP, zatykając węzły komunikacyjne.
  • Powódź ICMP- botnet atakującego przeciąża komputer ofiary żądaniami usług, na które jest zobowiązany udzielić odpowiedzi typu echo. Szczególnym przykładem tego typu ataku jest Ppowódź lub atak Smurf, gdy kanały komunikacyjne są wypełnione żądaniami ping używanymi do sprawdzenia dostępności węzła sieciowego. To właśnie ze względu na zagrożenie zalaniem ICMP administratorzy systemów często całkowicie blokują możliwość wysyłania żądań ICMP za pomocą zapory ogniowej.
  • powódź SYN- atak wpływa na jeden z podstawowych mechanizmów protokołu TCP, zwany zasadą „potrójnego uzgadniania” (algorytm żądanie-odpowiedź: pakiet SYN – pakiet SYN-ACK – pakiet ACK). Ofiara jest bombardowana zalewem fałszywych żądań SYN bez odpowiedzi. Kanał użytkownika jest zapchany kolejką połączeń TCP z połączeń wychodzących oczekujących na pakiet odpowiedzi ACK.
  • Powódź UDP- losowe porty komputera ofiary są zalewane pakietami UDP, w odpowiedzi na które przeciążają zasoby sieciowe. Nazywa się rodzaj zalewu UDP skierowanego na serwer DNS Zalanie DNS.
  • Powódź MAC- celem jest sprzęt sieciowy, którego porty są zatkane strumieniami „pustych” pakietów o różnych adresach MAC. Aby chronić się przed tego typu atakami DDoS, przełączniki sieciowe są skonfigurowane tak, aby sprawdzały ważność i filtrowały adresy MAC.

Ataki na warstwę aplikacji (warstwa infrastruktury)

Ta odmiana jest używana, gdy konieczne jest przejęcie lub wyłączenie zasobów sprzętowych. Celem „najeźdźców” może być zarówno sprzęt fizyczny, jak i pamięć RAM lub czas procesora.

Nie ma potrzeby przeciążania przepustowości. Wystarczy jedynie spowodować przeciążenie procesora ofiary, czyli innymi słowy zająć cały czas procesu.

Rodzaje ataków DDoS na poziomie aplikacji

  • Załatwić "ciężkiX"pakiety, docierając bezpośrednio do procesora. Urządzenie nie radzi sobie ze skomplikowanymi obliczeniami i zaczyna zawodzić, uniemożliwiając odwiedzającym dostęp do witryny.
  • Za pomocą skryptu serwer jest zapełniony treści „śmieciowe”.- pliki dziennika, „komentarze użytkowników” itp. Jeśli Administrator systemu nie ustawił limitu na serwerze, wówczas haker może utworzyć ogromne partie plików, które zapełnią cały dysk twardy.
  • Problemy z system kwotowy. Niektóre serwery komunikują się z programy zewnętrzne Interfejs CGI (Common Gateway Interface, „wspólny interfejs bramy”). Uzyskując dostęp do CGI, atakujący może napisać własny skrypt, który w jego interesie wykorzysta część zasobów, np. czas procesora.
  • Niekompletna kontrola dane gości. Prowadzi to również do długotrwałego, a nawet nieskończonego wykorzystania zasobów procesora, aż do ich wyczerpania.
  • Atak drugiego typu. Powoduje to fałszywy alarm w systemie bezpieczeństwa, który może automatycznie zamknąć zasób ze świata zewnętrznego.

Ataki na poziomie aplikacji

Atak DDoS na poziomie aplikacji wykorzystuje pominięcia w tworzeniu kodu programu, co czyni oprogramowanie podatnym na wpływy zewnętrzne. Do tego typu zalicza się tak powszechny atak jak „Ping of death” – masowe wysyłanie dłuższych pakietów ICMP do komputera ofiary, powodując przepełnienie bufora.

Ale profesjonalni hakerzy rzadko uciekają się do tak prostej metody, jak przeciążenie kanały przepustowe. Aby zaatakować złożone systemy dużych firm, starają się w pełni zrozumieć strukturę systemu serwera i napisać exploita - program, łańcuch poleceń lub część kodu programu, który uwzględnia podatność oprogramowania ofiary i służy do ataku komputer.

Ataki DNS

  1. Pierwsza grupa jest skierowana do słaby punkti wPRZEZ Serwery DNS. Należą do nich tak powszechne rodzaje cyberprzestępstw, jak atak Zero-day i Fast Flux DNS.
    Jednym z najpowszechniejszych typów ataków DNS jest tzw. fałszowanie DNS. Podczas tego atakujący podmieniają adres IP w pamięci podręcznej serwera, przekierowując użytkownika na fałszywą stronę. Podczas przejścia przestępca uzyskuje dostęp do danych osobowych użytkownika i może je wykorzystać na swoją korzyść. Na przykład w 2009 r. z powodu fałszowania rekordów DNS użytkownicy nie mogli uzyskać dostępu do Twittera przez godzinę. Atak ten miał charakter polityczny. Napastnicy zainstalowali się strona główna sieć społeczna ostrzeżenia irańskich hakerów dotyczące amerykańskiej agresji
  2. Druga grupa to ataki DDoS, które prowadzą do Niedziałanie DNS-serwery. Jeśli zawiodą, użytkownik nie będzie mógł uzyskać dostępu do żądanej strony, ponieważ przeglądarka nie znajdzie adresu IP specyficznego dla konkretnej witryny.

Zapobieganie i ochrona przed atakami DDoS

Według Corero Network Security ponad ⅔ wszystkich firm na świecie co miesiąc pada ofiarą ataków typu odmowa dostępu. Co więcej, ich liczba sięga 50.

Właściciele witryn internetowych, którzy nie zapewnią ochrony serwerów przed atakami DDoS, mogą nie tylko ponieść ogromne straty, ale także spadek zaufania klientów, a także konkurencyjności na rynku.

Najskuteczniejszym sposobem ochrony przed atakami DDoS są filtry instalowane przez dostawcę na kanałach internetowych o dużej przepustowości. Przeprowadzają spójną analizę całego ruchu i identyfikują podejrzaną aktywność sieciową lub błędy. Filtry można instalować zarówno na poziomie routera, jak i przy użyciu specjalnych urządzeń sprzętowych.

Metody ochrony

  1. Już na etapie pisania oprogramowania trzeba pomyśleć o bezpieczeństwie witryny. Dokładnie sprawdź oprogramowanie za błędy i luki w zabezpieczeniach.
  2. Regularnie zaktualizować oprogramowanie, a także dają możliwość powrotu do stara wersja jeśli pojawią się problemy.
  3. Podążać ograniczenie dostępu. Usługi związane z administracją powinny być całkowicie zamknięte przed dostępem osób trzecich. Chroń swoje konto administratora silnymi hasłami i często je zmieniaj. Niezwłocznie usuwaj konta pracowników, którzy odeszli.
  4. Dostęp do interfejs administratora musi odbywać się wyłącznie z sieci wewnętrznej lub poprzez VPN.
  5. Przeskanuj system pod kątem obecność luk. Najbardziej niebezpieczne luki są regularnie publikowane przez autorytatywny ranking OWASP Top 10.
  6. Stosować zapora aplikacji- WAF (Zapora sieciowa aplikacji internetowych). Przegląda przesyłany ruch i monitoruje zasadność żądań.
  7. Używać CDN(Sieć dostarczania treści). Jest to sieć dostarczania treści, która działa przy użyciu sieć rozproszona. Ruch jest sortowany na wielu serwerach, co zmniejsza opóźnienia podczas uzyskiwania dostępu przez odwiedzających.
  8. Kontroluj ruch przychodzący za pomocą listy kontroli dostępu (ACL), która wskaże listę osób mających dostęp do obiektu (programu, procesu lub pliku) oraz ich role.
  9. Móc blokować ruch, który pochodzi z urządzeń atakujących. Można to zrobić na dwa sposoby: za pomocą zapór sieciowych lub list ACL. W pierwszym przypadku blokowany jest określony przepływ, ale ekrany nie są w stanie oddzielić ruchu „pozytywnego” od ruchu „negatywnego”. W drugim filtrowane są drobne protokoły. Dlatego nie będzie przydatne, jeśli haker użyje zapytań priorytetowych.
  10. Aby zabezpieczyć się przed fałszowaniem DNS, musisz to robić okresowo wyczyść pamięć podręczną DNS.
  11. Używać ochrona przed botami spamującymi- captcha, „ludzkie” ramy czasowe wypełniania formularzy, reCaptcha (zaznacz „Nie jestem robotem”) itp.
  12. Odwrotny atak. Cały szkodliwy ruch jest przekierowywany do atakującego. Pomoże nie tylko odeprzeć atak, ale także zniszczyć serwer atakującego.
  13. Umieszczenie zasobów na kilka niezależnych serwerów. Jeśli jeden serwer ulegnie awarii, pozostałe zapewnią działanie.
  14. Korzystanie ze sprawdzonych ochrona sprzętu przed atakami DDoS. Na przykład Impletec iCore lub DefensePro.
  15. Wybierz dostawcę usług hostingowych, z którym współpracujesz niezawodny dostawca usługi cyberbezpieczeństwa. Wśród kryteriów niezawodności eksperci podkreślają: dostępność gwarancji jakości, zapewnienie ochrony przed możliwie najszerszym zakresem zagrożeń, Całodobowe wsparcie techniczne, przejrzystość (dostęp klienta do statystyk i analiz), a także brak opłat za złośliwy ruch.

Wniosek

W tym artykule przyjrzeliśmy się, co oznacza atak DDoS i jak chronić swoją witrynę przed atakami. Należy pamiętać, że takie złośliwe działania mogą spowodować utratę nawet najbezpieczniejszych i największych zasobów sieciowych. Pociągnie to za sobą poważne konsekwencje w postaci ogromnych strat i utraty klientów. Dlatego ochrona zasobów przed atakami DDoS jest pilnym zadaniem dla wszystkich struktur komercyjnych i agencji rządowych.

Jeśli zależy Ci na profesjonalnym poziomie ochrony przed atakami DDoS - wybierz! Stały monitoring i całodobowe wsparcie techniczne.

Coraz częściej tu i ówdzie w oficjalnych komunikatach dostawców usług hostingowych pojawiają się odniesienia do odzwierciedlonych ataków DDoS. Coraz częściej użytkownicy, gdy odkryją niedostępność swojej witryny, natychmiast zakładają atak DDoS. Rzeczywiście, na początku marca Runet doświadczył całej fali takich ataków. Jednocześnie eksperci zapewniają, że zabawa dopiero się zaczyna. Po prostu nie da się przejść obojętnie obok zjawiska tak aktualnego, groźnego i intrygującego. Zatem dzisiaj porozmawiajmy o mitach i faktach na temat DDoS. Oczywiście z punktu widzenia dostawcy usług hostingowych.

Niezapomniany dzień

W dniu 20 listopada 2013 roku po raz pierwszy w 8-letniej historii naszej firmy cała platforma techniczna była przez kilka godzin niedostępna z powodu niespotykanego dotąd ataku DDoS. Ucierpiały dziesiątki tysięcy naszych klientów w całej Rosji i krajach WNP, nie wspominając o nas i naszym dostawcy Internetu. Ostatnią rzeczą, jaką dostawca zdołał zarejestrować, zanim zgasło dla wszystkich białe światło, było to, że jego kanały wejściowe były mocno zatkane ruchem przychodzącym. Aby to sobie wyobrazić, wyobraź sobie swoją wannę ze zwykłym odpływem i wpadającym do niej wodospadem Niagara.

Nawet dostawcy znajdujący się wyżej w łańcuchu odczuli skutki tego tsunami. Poniższe wykresy wyraźnie ilustrują, co działo się tego dnia z ruchem internetowym w Petersburgu i Rosji. Zwróć uwagę na strome szczyty w godzinach 15 i 18, dokładnie w momentach, w których rejestrowaliśmy ataki. Za te nagłe plusy 500-700 GB.

Zlokalizowanie ataku zajęło kilka godzin. Obliczono serwer, na który został wysłany. Następnie obliczono cel internetowych terrorystów. Czy wiesz, w kogo uderzała ta cała artyleria wroga? Jedna bardzo zwyczajna, skromna witryna klienta.

Mit numer jeden: „Celem ataku jest zawsze dostawca usług hostingowych. To machinacje jego konkurentów. Nie moje." W rzeczywistości najbardziej prawdopodobnym celem terrorystów internetowych jest zwykła witryna klienta. Oznacza to, że jest to witryna jednego z sąsiadów hostujących. A może także Twoje.

Nie wszystko jest DDoS...

Po wydarzeniach, które miały miejsce na naszej stronie technicznej w dniu 20 listopada 2013 r. i ich częściowym powtórzeniu w dniu 9 stycznia 2014 r., niektórzy użytkownicy zaczęli zakładać, że DDoS dotyczy jakiejkolwiek konkretnej awarii ich własnej witryny internetowej: „To jest DDoS!” i „Czy ponownie doświadczasz DDoS?”

Należy pamiętać, że jeśli trafi nas taki DDoS, że nawet nasi klienci to odczują, sami natychmiast to zgłaszamy.

Tych, którym spieszy się z paniką, chcielibyśmy uspokoić: jeśli coś jest nie tak z Twoją witryną, prawdopodobieństwo, że jest to DDoS, jest mniejsze niż 1%. Po prostu dlatego, że na stronie może wydarzyć się wiele rzeczy, a te „wiele rzeczy” zdarza się znacznie częściej. O metodach szybkiej autodiagnozy tego, co dokładnie dzieje się z Twoją witryną, porozmawiamy w jednym z kolejnych postów.

W międzyczasie, dla ścisłości użycia słów, wyjaśnijmy pojęcia.

O warunkach

Atak DoS (od angielskiego Denial of Service) - Jest to atak mający na celu spowodowanie odmowy obsługi serwera ze względu na jego przeciążenie.

Ataki DoS nie są powiązane z uszkodzeniem sprzętu lub kradzieżą informacji; ich cel - sprawić, że serwer przestanie odpowiadać na żądania. Podstawowa różnica między DoS polega na tym, że atak następuje z jednej maszyny na drugą. Uczestników jest dokładnie dwóch.

Ale w rzeczywistości nie widzimy praktycznie żadnych ataków DoS. Dlaczego? Ponieważ celem ataków są najczęściej obiekty przemysłowe (na przykład potężne serwery produkcyjne firm hostingowych). Aby spowodować zauważalne uszkodzenie działania takiej maszyny, potrzebna jest znacznie większa moc niż jej własna. To jest pierwsza rzecz. Po drugie, inicjator ataku DoS jest dość łatwy do zidentyfikowania.

DDoS - zasadniczo to samo co DoS, tylko atak jest rozproszony charakter. Nie pięć, nie dziesięć, nie dwadzieścia, ale setki i tysiące komputerów uzyskują dostęp do jednego serwera jednocześnie z różnych miejsc. Ta armia maszyn nazywa się botnet. Identyfikacja klienta i organizatora jest prawie niemożliwa.

Wspólnicy

Jakie komputery wchodzą w skład botnetu?

Zdziwisz się, ale często są to najzwyklejsze maszyny domowe. Kto wie?.. - całkiem możliwe, że twoje komputer domowy przeniesiony na stronę zła.

Nie potrzeba do tego wiele. Osoba atakująca znajduje lukę w popularnym pliku system operacyjny lub aplikacji i za jego pomocą infekuje Twój komputer trojanem, który w określonym dniu i o określonej godzinie instruuje Twój komputer, aby zaczął wykonywać określone czynności. Na przykład wysyłaj żądania na określony adres IP. Oczywiście bez Twojej wiedzy i udziału.

Mit numer dwa: « DDoS odbywa się gdzieś daleko ode mnie, w specjalnym podziemnym bunkrze, w którym siedzą brodaci hakerzy z czerwonymi oczami.” W rzeczywistości, nie wiedząc o tym, ty, twoi przyjaciele i sąsiedzi - każdy może być nieświadomym wspólnikiem.

To się naprawdę dzieje. Nawet jeśli o tym nie myślisz. Nawet jeśli jesteś strasznie daleko od IT (zwłaszcza jeśli jesteś daleko od IT!).

Zabawna mechanika hakowania lub DDoS

Zjawisko DDoS nie jest jednolite. Koncepcja ta łączy w sobie wiele opcji działania, które prowadzą do jednego rezultatu (odmowa usługi). Zastanówmy się, jakie rodzaje problemów mogą nam przynieść DDoSers.

Nadmierne wykorzystanie zasobów obliczeniowych serwera

Odbywa się to poprzez wysyłanie pakietów na konkretny adres IP, których przetworzenie wymaga dużej ilości zasobów. Na przykład ładowanie strony wymaga wykonania dużej liczby zapytań SQL. Wszyscy atakujący będą żądać dokładnie tej strony, co spowoduje przeciążenie serwera i odmowę świadczenia usług zwykłym, legalnym odwiedzającym witrynę.
To atak na poziomie ucznia, który spędził kilka wieczorów na czytaniu magazynu Hacker. Ona nie jest problemem. Ten sam żądany adres URL jest obliczany natychmiastowo, po czym dostęp do niego jest blokowany na poziomie serwera WWW. A to tylko jedno z rozwiązań.

Przeciążenie kanałów komunikacyjnych do serwera (wyjście)

Poziom trudności tego ataku jest mniej więcej taki sam jak poprzedniego. Atakujący określa najcięższą stronę w witrynie, a kontrolowany przez niego botnet zaczyna masowo żądać jej dostępu.


Wyobraź sobie, że niewidzialna dla nas część Kubusia Puchatka jest nieskończenie duża
W tym przypadku również bardzo łatwo jest zrozumieć, co dokładnie blokuje kanał wychodzący i uniemożliwia dostęp do tej strony. Podobne zapytania można łatwo zobaczyć za pomocą specjalne narzędzia, które umożliwiają podgląd interfejsu sieciowego i analizę ruchu. Następnie dla Firewalla pisana jest reguła blokująca takie żądania. Wszystko to odbywa się regularnie, automatycznie i tak błyskawicznie, że Większość użytkowników nawet nie jest świadoma żadnego ataku.

Mit numer trzy: "A Rzadko jednak docierają do mojego hostingu i zawsze je zauważam.” Tak naprawdę 99,9% ataków nie widać ani nie czuć. Ale codzienna walka z nimi - To codzienna, rutynowa praca firmy hostingowej. Taka jest nasza rzeczywistość, w której atak jest tani, konkurencja nie wchodzi w grę i nie każdy wykazuje się rozeznaniem w metodach walki o miejsce pod słońcem.

Przeciążenie kanałów komunikacyjnych do serwera (wejście)

To już zadanie dla tych, którzy czytają magazyn Hacker dłużej niż jeden dzień.


Zdjęcie ze strony internetowej radia Ekho Moskvy. Nie znaleźliśmy niczego bardziej wizualnego, co odzwierciedlałoby DDoS z przeciążeniem kanałów wejściowych.
Aby zapełnić kanał ruchem przychodzącym do pełna, należy posiadać botnet, którego moc pozwala wygenerować wymaganą ilość ruchu. Ale może istnieje sposób, aby wysyłać niewielki ruch i odbierać go dużo?

Jest i nie tylko jeden. Istnieje wiele opcji ulepszenia ataku, ale obecnie jedną z najpopularniejszych jest atak poprzez publiczne serwery DNS. Eksperci nazywają tę metodę amplifikacji Wzmocnienie DNS(jeśli ktoś woli fachowe określenia). Mówiąc najprościej, wyobraźmy sobie lawinę: wystarczy niewielki wysiłek, aby ją rozbić, ale wystarczą nieludzkie zasoby, aby ją zatrzymać.

Ty i ja to wiemy publiczny serwer DNS na żądanie udostępnia każdemu informacje na temat dowolnej nazwy domeny. Na przykład pytamy taki serwer: opowiedz mi o domenie sprinthost.ru. I bez wahania opowiada nam wszystko, co wie.

Zapytanie do serwera DNS jest bardzo prostą operacją. Kontakt z nim prawie nic nie kosztuje, prośba będzie mikroskopijna. Na przykład tak:

Pozostaje tylko wybrać Nazwa domeny, informacje o których utworzą imponujący pakiet danych. Zatem oryginalne 35 bajtów jednym ruchem nadgarstka zamienia się w prawie 3700. Jest to wzrost ponad 10-krotny.

Jak jednak zapewnić, że odpowiedź zostanie wysłana na właściwy adres IP? Jak sfałszować źródło IP żądania, aby serwer DNS wysłał swoje odpowiedzi w stronę ofiary, która nie żądała żadnych danych?

Faktem jest, że serwery DNS działają zgodnie z Protokół komunikacyjny UDP, co w ogóle nie wymaga potwierdzenia źródła żądania. Sfałszowanie wychodzącego adresu IP w tym przypadku nie jest dla dawcy zbyt trudne. Dlatego właśnie ten rodzaj ataku jest obecnie tak popularny.

Najważniejsze jest to, że do przeprowadzenia takiego ataku wystarczy bardzo mały botnet. Oraz kilka odmiennych publicznych DNS, w których nie będzie widać nic dziwnego w tym, że różni użytkownicy od czasu do czasu żądają danych od tego samego hosta. I dopiero wtedy cały ten ruch połączy się w jeden strumień i mocno przybije jedną „rurę”.

Dostawca nie może wiedzieć, jaką pojemność mają kanały atakującego. A jeśli nie obliczy poprawnie siły swojego ataku i nie zablokuje od razu kanału do serwera w 100%, atak można dość szybko i łatwo odeprzeć. Korzystanie z narzędzi takich jak Zrzut TCPŁatwo jest dowiedzieć się, że ruch przychodzący pochodzi z DNS i na poziomie zapory sieciowej zablokować jego akceptowanie. Opcja ta – odmowa przyjęcia ruchu z DNS – wiąże się z pewną niedogodnością dla wszystkich, jednak zarówno serwery, jak i znajdujące się na nich witryny będą nadal działać pomyślnie.

To tylko jedna z wielu możliwości wzmocnienia ataku. Istnieje wiele innych rodzajów ataków, o których porozmawiamy innym razem. Na razie chciałbym podsumować, że wszystko powyższe dotyczy ataku, którego siła nie przekracza szerokości kanału do serwera.

Jeśli atak jest potężny

Jeżeli siła ataku przekracza pojemność kanału prowadzącego do serwera, dzieje się co następuje. Kanał internetowy prowadzący do serwera jest natychmiast zatkany, następnie do witryny hostingowej, do jej dostawcy Internetu, do dostawcy wyższego szczebla i tak dalej i dalej w górę (na dłuższą metę – do najbardziej absurdalnych granic), aż do siła ataku jest wystarczająca.

I wtedy to się stanie globalnego problemu dla wszystkich. I w skrócie z tym mieliśmy do czynienia 20 listopada 2013 roku. A kiedy nastąpią wstrząsy na dużą skalę, czas włączyć specjalną magię!


Tak wygląda specjalna magia, za pomocą której można określić serwer, na który kierowany jest ruch, i zablokować jego IP na poziomie dostawcy Internetu. Aby przestał otrzymywać jakiekolwiek żądania do tego adresu IP za pośrednictwem swoich kanałów komunikacyjnych ze światem zewnętrznym (linkami w górę). Dla miłośników terminów: eksperci nazywają tę procedurę "czarna dziura", z angielskiego blackhole.

W tym przypadku zaatakowany serwer posiadający 500-1500 kont pozostaje bez swojego adresu IP. Przydzielana jest dla niego nowa podsieć adresów IP, w której konta klientów są losowo równomiernie rozłożone. Następnie eksperci czekają, aż atak się powtórzy. To prawie zawsze się powtarza.

A gdy się to powtórzy, zaatakowany adres IP nie ma już 500-1000 kont, a jedynie kilkanaście lub dwa.

Krąg podejrzanych się zawęża. Te 10–20 kont jest ponownie rozdzielanych na różne adresy IP. I znowu inżynierowie wpadli w zasadzkę, czekając na powtórzenie ataku. Raz po raz rozdzielają podejrzane konta na różne adresy IP i w ten sposób stopniowo zbliżając się do celu, ustalają cel ataku. Wszystkie pozostałe konta w tym momencie wracają do normalnego działania na poprzednim adresie IP.

Jak widać, nie jest to procedura natychmiastowa, jej wdrożenie wymaga czasu.

Mit numer cztery:„Kiedy dochodzi do ataku na dużą skalę, mój gospodarz nie ma planu działania. On po prostu czeka z zamkniętymi oczami, aż bombardowanie się skończy, i odpowiada na moje listy w ten sam sposób”.To nieprawda: w przypadku ataku dostawca usług hostingowych działa zgodnie z planem, aby go zlokalizować i jak najszybciej wyeliminować skutki. A listy tego samego typu pozwalają przekazać istotę tego, co się dzieje, a jednocześnie oszczędzają zasoby niezbędne do jak najszybszego poradzenia sobie z sytuacją awaryjną.

Czy jest światełko w tunelu?

Teraz widzimy, że aktywność DDoS stale rośnie. Zlecenie ataku stało się bardzo dostępne i skandalicznie tanie. Aby uniknąć oskarżeń o propagandę, nie będzie żadnych linków dowodowych. Ale uwierz nam na słowo, to prawda.

Mit numer pięć: „Atak DDoS jest bardzo kosztownym przedsięwzięciem i na jego zlecenie mogą pozwolić sobie tylko potentaci biznesowi. To w każdym razie machinacje tajnych służb!” W rzeczywistości takie wydarzenia stały się niezwykle dostępne.

Dlatego nie można oczekiwać, że szkodliwa aktywność sama zniknie. Raczej będzie się tylko nasilać. Pozostaje tylko wykuć i naostrzyć broń. Tym właśnie się zajmujemy, ulepszając infrastrukturę sieciową.

Prawna strona problemu

Jest to bardzo niepopularny aspekt dyskusji o atakach DDoS, ponieważ rzadko słyszymy o przypadkach złapania i ukarania sprawców. Należy jednak pamiętać: Atak DDoS jest przestępstwem. W większości krajów świata, w tym w Federacji Rosyjskiej.

Mit numer sześć: « Teraz, gdy wiem już wystarczająco dużo o DDoS, zamówię imprezę dla konkurencji - i nic mi się przez to nie stanie!” Możliwe, że tak się stanie. A jeśli tak się stanie, nie będzie to zbyt wiele.

  • Początek historii z DDoS systemu płatności Assist
  • Ekscytujące zakończenie

Ogólnie rzecz biorąc, nie zalecamy nikomu angażowania się w okrutne praktyki DDoS, aby nie narazić się na gniew sprawiedliwości i nie zrujnować swojej karmy. A my, ze względu na specyfikę naszej działalności i duże zainteresowanie badawcze, nadal zgłębiamy ten problem, stoimy na straży i doskonalimy struktury obronne.

PS:nie mamy dość miłych słów, żeby wyrazić naszą wdzięczność, więc po prostu mówimy"Dziękuję!" naszym cierpliwym klientom, którzy gorąco nas wspierali w trudnym dniu 20 listopada 2013 roku. Powiedziałeś wiele zachęcających słów w ramach naszego wsparcia w

Wstęp

Pozwólcie, że od razu dokonam rezerwacji, kiedy pisałem ta recenzja, skupiałem się przede wszystkim na odbiorcach, którzy rozumieją specyfikę pracy operatorów telekomunikacyjnych i ich sieci danych. W artykule przedstawiono podstawowe zasady ochrony przed atakami DDoS, historię ich rozwoju w ostatniej dekadzie oraz sytuację obecną.

Co to jest DDoS?

Prawdopodobnie dzisiaj, jeśli nie każdy „użytkownik”, to przynajmniej każdy „informatyk” wie, czym są ataki DDoS. Ale jeszcze trzeba powiedzieć kilka słów.

Ataki DDoS (Distributed Denial of Service) to ataki na systemy komputerowe (zasoby sieciowe lub kanały komunikacyjne), których celem jest uczynienie ich niedostępnymi dla legalnych użytkowników. Ataki DDoS polegają na jednoczesnym wysyłaniu dużej liczby żądań do określonego zasobu z jednego lub wielu komputerów znajdujących się w Internecie. Jeśli tysiące, dziesiątki tysięcy lub miliony komputerów jednocześnie zaczną wysyłać żądania do konkretnego serwera (lub usługi sieciowej), to albo serwer nie będzie w stanie tego obsłużyć, albo nie będzie wystarczającej przepustowości dla kanału komunikacji z tym serwerem . W obu przypadkach internauci nie będą mogli uzyskać dostępu do zaatakowanego serwera, ani nawet do wszystkich serwerów i innych zasobów połączonych zablokowanym kanałem komunikacji.

Niektóre cechy ataków DDoS

Przeciwko komu i w jakim celu przeprowadzane są ataki DDoS?

Ataki DDoS można przeprowadzić na dowolne zasoby w Internecie. Największe szkody w wyniku ataków DDoS ponoszą organizacje, których działalność jest bezpośrednio związana z ich obecnością w Internecie – banki (świadczące usługi bankowości internetowej), sklepy internetowe, platformy handlowe, aukcje, a także inne rodzaje działalności, aktywność i efektywność z czego w znacznym stopniu zależy od przedstawicielstwa w Internecie (biura podróży, linie lotnicze, producenci sprzętu i oprogramowania itp.) Regularnie przeprowadzane są ataki DDoS na zasoby takich gigantów światowej branży IT jak IBM, Cisco Systems, Microsoft i inni . Zaobserwowano masowe ataki DDoS na eBay.com, Amazon.com oraz wiele znanych banków i organizacji.

Bardzo często przeprowadzane są ataki DDoS na reprezentacje internetowe organizacji politycznych, instytucji lub poszczególnych znanych osobistości. Wiele osób wie o masowych i długotrwałych atakach DDoS, które miały miejsce na stronę internetową Prezydenta Gruzji podczas wojny gruzińsko-osetyjskiej w 2008 r. (strona internetowa była niedostępna przez kilka miesięcy, począwszy od sierpnia 2008 r.), na serwery rządu estońskiego (wiosną 2007 r. podczas zamieszek związanych z przeniesieniem Brązowego Żołnierza), o okresowych atakach z północnokoreańskiego segmentu Internetu na strony amerykańskie.

Głównymi celami ataków DDoS jest albo wyciągnięcie korzyści (bezpośrednich lub pośrednich) poprzez szantaż i wymuszenie, albo realizacja interesów politycznych, eskalacja sytuacji lub zemsta.

Jakie są mechanizmy przeprowadzania ataków DDoS?

Najpopularniejszym i najbardziej niebezpiecznym sposobem przeprowadzania ataków DDoS jest wykorzystanie botnetów (BotNets). Botnet to zbiór komputerów, na których zainstalowane są specjalne zakładki programowe (boty); w tłumaczeniu z języka angielskiego botnet to sieć botów. Boty są zwykle tworzone przez hakerów indywidualnie dla każdego botnetu, a ich głównym celem jest wysyłanie żądań do określonego zasobu w Internecie na polecenie otrzymane od serwera sterującego botnetem – Botnet Command and Control Server. Serwer kontroli botnetu jest kontrolowany przez hakera, czyli osobę, która kupiła botnet i możliwość przeprowadzenia ataku DDoS od hakera. W Internecie rozprzestrzeniają się boty różne sposoby z reguły atakując komputery posiadające podatne na ataki usługi i instalując na nich zakładki oprogramowania lub oszukując użytkowników i zmuszając ich do instalowania botów pod pozorem świadczenia innych usług lub oprogramowania, które działa całkowicie nieszkodliwie lub nawet przydatna funkcja. Istnieje wiele sposobów rozprzestrzeniania botów i regularnie wymyślane są nowe metody.

Jeśli botnet jest wystarczająco duży – dziesiątki lub setki tysięcy komputerów – wówczas jednoczesne wysyłanie ze wszystkich tych komputerów nawet całkowicie uzasadnionych żądań do określonej usługi sieciowej (na przykład usługi internetowej w określonej witrynie) doprowadzi do wyczerpania zasobów samej usługi lub serwera, bądź też wyczerpania możliwości kanału komunikacyjnego. W każdym przypadku usługa będzie niedostępna dla użytkowników, a właściciel usługi poniesie bezpośrednią, pośrednią szkodę i utratę reputacji. A jeśli każdy komputer wyśle ​​nie tylko jedno żądanie, ale dziesiątki, setki lub tysiące żądań na sekundę, wówczas siła ataku wzrasta wielokrotnie, co pozwala zniszczyć nawet najbardziej produktywne zasoby lub kanały komunikacji.

Niektóre ataki przeprowadzane są w bardziej „nieszkodliwy” sposób. Na przykład flash mob użytkowników niektórych forów, którzy na mocy umowy uruchamiają się określony czas„pingi” lub inne żądania wysyłane z ich komputerów do określonego serwera. Innym przykładem jest umieszczenie linku do strony internetowej w popularnych zasobach Internetu, co powoduje napływ użytkowników na serwer docelowy. Jeśli „fałszywy” link (na zewnątrz wygląda jak link do jednego zasobu, ale w rzeczywistości prowadzi do zupełnie innego serwera) odsyła do strony internetowej małej organizacji, ale jest zamieszczony na popularnych serwerach lub forach, taki atak może spowodować napływ odwiedzających, który jest niepożądany dla tej witryny. Ataki dwóch ostatnich typów rzadko prowadzą do zaprzestania dostępności serwerów na odpowiednio zorganizowanych stronach hostingowych, ale takie przykłady zdarzały się nawet w Rosji w 2009 roku.

Czy tradycyjne techniczne środki ochrony przed atakami DDoS pomogą?

Osobliwością ataków DDoS jest to, że składają się one z wielu jednoczesnych żądań, z których każde z osobna jest całkowicie „legalne”, a ponadto żądania te są wysyłane przez komputery (zainfekowane botami), które mogą równie dobrze należeć do najczęstszych rzeczywistych lub potencjalnych użytkowników atakowanej usługi lub zasobu. Dlatego bardzo trudno jest poprawnie zidentyfikować i odfiltrować dokładnie te żądania, które stanowią atak DDoS, przy użyciu standardowych narzędzi. Standardowe systemy klasy IDS/IPS (Intrusion Detection/Prevention System – system wykrywania/zapobiegania atakom sieciowym) nie znajdą w tych żądaniach „corpus delicti”, nie zrozumieją, że są częścią ataku, chyba że wykonają analiza jakościowa anomalii w ruchu. A nawet jeśli znajdą, odfiltrowanie niepotrzebnych żądań też nie jest takie proste – standardowe firewalle i routery filtrują ruch w oparciu o jasno określone listy dostępowe (reguły kontroli) i nie wiedzą, jak „dynamicznie” dostosować się do profilu konkretny atak. Zapory ogniowe mogą regulować przepływ ruchu w oparciu o kryteria, takie jak adresy źródłowe, używane usługi sieciowe, porty i protokoły. Ale biorą udział w ataku DDoS zwykli użytkownicy Internet, który wysyła żądania przy użyciu najpopularniejszych protokołów - czy operator telekomunikacyjny nie zablokuje wszystkich i wszystkiego? Wtedy po prostu przestanie świadczyć usługi komunikacyjne swoim abonentom i przestanie zapewniać dostęp do obsługiwanych zasobów sieciowych, co w istocie próbuje osiągnąć inicjator ataku.

Wielu specjalistów zapewne zdaje sobie sprawę z istnienia specjalnych rozwiązań ochrony przed atakami DDoS, które polegają na wykrywaniu anomalii w ruchu, budowaniu profilu ruchu i profilu ataku, a następnie na późniejszym procesie dynamicznego, wieloetapowego filtrowania ruchu. O tych rozwiązaniach również opowiem w tym artykule, ale nieco później. Najpierw porozmawiamy o mniej znanych, ale czasami dość skutecznych środkach, które można podjąć w celu powstrzymania ataków DDoS istniejące środki sieć danych i jej administratorzy.

Ochrona przed atakami DDoS za pomocą dostępnych środków

Istnieje sporo mechanizmów i „sztuczek”, które w niektórych szczególnych przypadkach pozwalają stłumić ataki DDoS. Niektóre można zastosować tylko wtedy, gdy sieć danych zbudowana jest na sprzęcie konkretnego producenta, inne są mniej lub bardziej uniwersalne.

Zacznijmy od rekomendacji Cisco Systems. Eksperci tej firmy zalecają zapewnienie ochrony fundamentów sieci (Network Foundation Protection), która obejmuje ochronę poziomu administracji siecią (Control Plane), poziomu zarządzania siecią (Management Plane) oraz ochronę poziomu danych sieciowych (Data Plane).

Ochrona płaszczyzny zarządzania

Termin „warstwa administracyjna” obejmuje cały ruch zarządzający lub monitorujący routery i inny sprzęt sieciowy. Ruch ten jest kierowany do routera lub pochodzi z routera. Przykładami takiego ruchu są sesje Telnet, SSH i http(s), komunikaty syslog, pułapki SNMP. Ogólne najlepsze praktyki obejmują:

Zapewnienie maksymalnego bezpieczeństwa protokołów zarządzania i monitorowania, wykorzystując szyfrowanie i uwierzytelnianie:

  • protokół SNMP v3 zapewnia środki bezpieczeństwa, podczas gdy SNMP v1 praktycznie nie zapewnia, a SNMP v2 zapewnia tylko częściowo - domyślne wartości Community​​zawsze trzeba zmienić;
  • należy stosować różne wartości dla społeczności publicznej i prywatnej;
  • protokół telnet przesyła wszystkie dane, łącznie z loginem i hasłem, w postaci zwykłego tekstu (w przypadku przechwycenia ruchu, informacje te można łatwo wydobyć i wykorzystać), zaleca się zawsze używać zamiast tego protokołu ssh v2;
  • podobnie zamiast http używaj https, aby uzyskać dostęp do sprzętu, ścisła kontrola dostępu do sprzętu, w tym odpowiednia polityka haseł, scentralizowane uwierzytelnianie, autoryzacja i księgowość (model AAA) oraz lokalne uwierzytelnianie w celu zapewnienia redundancji;

Wdrożenie modelu dostępu opartego na rolach;

Kontrola dozwolonych połączeń według adresu źródłowego za pomocą list kontroli dostępu;

Wyłączenie nieużywanych usług, z których wiele jest domyślnie włączonych (lub zapomniały je wyłączyć po zdiagnozowaniu lub skonfigurowaniu systemu);

Monitorowanie wykorzystania zasobów sprzętowych.

Warto przyjrzeć się bliżej dwóm ostatnim punktom.
Niektóre usługi, które są domyślnie włączone lub o których zapomniano wyłączyć po skonfigurowaniu lub zdiagnozowaniu sprzętu, mogą zostać wykorzystane przez osoby atakujące do ominięcia istniejących reguł bezpieczeństwa. Lista tych usług znajduje się poniżej:

  • PAD (asembler/deasembler pakietów);

Oczywiście przed wyłączeniem tych usług należy dokładnie sprawdzić, czy są one potrzebne w Twojej sieci.

Wskazane jest monitorowanie wykorzystania zasobów sprzętowych. Pozwoli to, po pierwsze, w porę wykryć przeciążenia poszczególnych elementów sieci i podjąć działania zapobiegające wypadkowi, a po drugie, wykryć ataki i anomalie DDoS, jeśli ich wykrycie nie jest zapewnione specjalnymi środkami. Zaleca się monitorowanie co najmniej:

  • Obciążenie procesora
  • zużycie pamięci
  • przeciążenie interfejsów routera.

Monitorowanie można przeprowadzić „ręcznie” (poprzez okresowe monitorowanie stanu sprzętu), ale oczywiście lepiej to zrobić systemy specjalne monitorowanie lub monitorowanie sieci bezpieczeństwo informacji(ten ostatni obejmuje Cisco MARS).

Ochrona płaszczyzny kontrolnej

Warstwa zarządzania siecią obejmuje cały ruch usługowy zapewniający funkcjonowanie i łączność sieci zgodnie z określoną topologią i parametrami. Przykładami ruchu płaszczyzny sterującej są: cały ruch generowany przez procesor tras (RR) lub przeznaczony dla niego, włączając wszystkie protokoły routingu, w niektórych przypadkach protokoły SSH i SNMP oraz ICMP. Jakikolwiek atak na funkcjonowanie procesora routingu, a w szczególności ataki DDoS, mogą prowadzić do znacznych problemów i przerw w funkcjonowaniu sieci. Poniżej przedstawiono najlepsze praktyki dotyczące ochrony płaszczyzny sterowania.

Kontrola samolotu kontrolnego

Polega na wykorzystaniu mechanizmów QoS (Quality of Service) w celu nadania wyższego priorytetu kontroli ruchu samolotu niż ruchu użytkowników (którego częścią są ataki). Zapewni to działanie protokołów usług i procesora routingu, czyli utrzymanie topologii i łączności sieci, a także faktycznego routingu i przełączania pakietów.

IP Odbierz listę ACL

Funkcjonalność ta pozwala filtrować i kontrolować ruch usługowy przeznaczony dla routera i procesora routingu.

  • są stosowane bezpośrednio w sprzęcie routingowym, zanim ruch dotrze do procesora routingu, zapewniając ochronę sprzętu „osobistego”;
  • stosowane są po przejściu ruchu przez zwykłe listy kontroli dostępu - stanowią ostatni poziom ochrony na drodze do procesora routingu;
  • dotyczą całego ruchu (zarówno wewnętrznego, zewnętrznego, jak i tranzytowego w stosunku do sieci operatora telekomunikacyjnego).

Lista kontroli dostępu do infrastruktury

Zazwyczaj dostęp do zastrzeżonych adresów sprzętu routingowego jest konieczny tylko dla hostów w sieci operatora, ale są wyjątki (na przykład eBGP, GRE, IPv6 przez tunele IPv4 i ICMP). Infrastrukturalne listy ACL:

  • zwykle instalowany na brzegu sieci operatora telekomunikacyjnego („przy wejściu do sieci”);
  • mieć na celu uniemożliwienie hostom zewnętrznym dostępu do adresów infrastruktury operatora;
  • zapewnić niezakłócony tranzyt ruchu przez granicę sieci operatora;
  • zapewniają podstawowe mechanizmy zabezpieczające przed nieupoważnionym dostępem aktywność sieciowa, opisane w RFC 1918, RFC 3330, w szczególności ochrona przed spoofingiem (spoofingiem, wykorzystaniem fałszywych źródłowych adresów IP w celu zamaskowania podczas przeprowadzania ataku).

Uwierzytelnianie sąsiada

Głównym celem uwierzytelniania sąsiadów jest zapobieganie atakom polegającym na wysyłaniu fałszywych komunikatów protokołu routingu w celu zmiany routingu w sieci. Ataki takie mogą prowadzić do nieuprawnionej penetracji sieci, nieuprawnionego wykorzystania zasobów sieciowych, a także przechwycenia ruchu przez osobę atakującą w celu analizy i uzyskania niezbędnych informacji.

Konfiguracja protokołu BGP

  • Filtry prefiksów BGP - służą do zapewnienia, że ​​informacje o trasach wewnętrznej sieci operatora telekomunikacyjnego nie przedostaną się do Internetu (czasami informacja ta może być bardzo przydatna dla atakującego);
  • ograniczenie liczby prefiksów, które można odebrać z innego routera (prefix limiting) – stosowane w celu ochrony przed atakami DDoS, anomaliami i awariami w partnerskich sieciach peeringowych;
  • wykorzystanie parametrów społeczności BGP i filtrowanie według nich można również wykorzystać do ograniczenia dystrybucji informacji o routingu;
  • Monitorowanie BGP i porównywanie danych BGP z obserwowanym ruchem jest jednym z mechanizmów wczesnego wykrywania ataków i anomalii DDoS;
  • filtrowanie po parametrze TTL (Time-to-Live) - służy do sprawdzania partnerów BGP.

Jeśli atak BGP zostanie przeprowadzony nie z sieci partnera peeringowego, ale z sieci bardziej odległej, wówczas parametr TTL dla pakietów BGP będzie mniejszy niż 255. Możesz skonfigurować routery graniczne operatora tak, aby odrzucały wszystkie pakiety BGP z TTL wartość< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Ochrona płaszczyzny danych w sieci (Płaszczyzna danych)

Pomimo znaczenia ochrony poziomów administracji i zarządzania, większość ruchu w sieci operatora telekomunikacyjnego to ruch danych, tranzytowy lub przeznaczony dla abonentów tego operatora.

Przekazywanie zwrotnej ścieżki emisji pojedynczej (uRPF)

Często ataki przeprowadzane są z wykorzystaniem technologii spoofingu – źródłowe adresy IP są fałszowane, przez co nie można prześledzić źródła ataku. Sfałszowane adresy IP mogą być:

  • z faktycznie wykorzystywanej przestrzeni adresowej, ale w innym segmencie sieci (w segmencie, z którego przeprowadzono atak, te fałszywe adresy nie są kierowane);
  • z niewykorzystanej przestrzeni adresowej w danej sieci transmisji danych;
  • z przestrzeni adresowej, której nie można routować w Internecie.

Zaimplementowanie mechanizmu uRPF na routerach zapobiegnie routingowi pakietów o adresach źródłowych, które są niezgodne lub nieużywane w segmencie sieci, z którego dotarły do ​​interfejsu routera. Technologia ta czasami pozwala dość skutecznie odfiltrować niechciany ruch znajdujący się najbliżej jego źródła, czyli najskuteczniej. Wiele ataków DDoS (w tym słynna sieć Smurf i Tribal Flood Network) wykorzystuje mechanizm spoofingu i stała zmiana adresy źródłowe w celu oszukania standardowe środki ochrona i filtrowanie ruchu.

Zastosowanie mechanizmu uRPF przez operatorów telekomunikacyjnych zapewniających abonentom dostęp do Internetu skutecznie zapobiegnie atakom DDoS wykorzystującym technologię spoofingu kierowanym przez własnych abonentów na zasoby Internetu. W ten sposób atak DDoS jest tłumiony najbliżej jego źródła, czyli najskuteczniej.

Zdalnie wyzwalane czarne dziury (RTBH)

Zdalnie wyzwalane czarne dziury służą do „zrzucania” (niszczenia i wysyłania „donikąd”) ruchu wchodzącego do sieci poprzez routing tego ruchu do specjalnych interfejsów Null 0. Ta technologia Zaleca się używanie go na brzegu sieci w celu usuwania ruchu zawierającego atak DDoS w momencie wejścia do sieci. Ograniczeniem (i znaczącym) tej metody jest to, że dotyczy ona całego ruchu kierowanego do konkretnego hosta lub hostów będących celem ataku. Zatem, Ta metoda można zastosować w przypadkach, gdy jeden lub więcej hostów zostaje poddanych masowemu atakowi, który powoduje problemy nie tylko dla zaatakowanych hostów, ale także dla innych abonentów i sieci operatora telekomunikacyjnego jako całości.

Czarnymi dziurami można zarządzać ręcznie lub za pośrednictwem protokołu BGP.

Propagacja zasad QoS poprzez BGP (QPPB)

Kontrola QoS poprzez BGP (QPPB) pozwala na zarządzanie polityką priorytetów dla ruchu kierowanego do konkretnego systemu autonomicznego lub bloku adresów IP. Mechanizm ten może być bardzo przydatny dla operatorów telekomunikacyjnych i dużych przedsiębiorstw, m.in. do zarządzania poziomem priorytetu dla ruchu niechcianego lub ruchu zawierającego atak DDoS.

Otwory na zlew

W niektórych przypadkach nie jest konieczne całkowite usuwanie ruchu za pomocą czarnych dziur, ale odwrócenie go od głównych kanałów lub zasobów w celu późniejszego monitorowania i analizy. Właśnie do tego służą „kanały przekierowania” czyli Sink Holes.

Otwory zlewowe są najczęściej używane w następujących przypadkach:

  • do przekierowywania i analizowania ruchu z adresami docelowymi, które należą do przestrzeni adresowej sieci operatora telekomunikacyjnego, ale w rzeczywistości nie są wykorzystywane (nie zostały przydzielone ani do sprzętu, ani do użytkowników); taki ruch jest z góry podejrzany, ponieważ często wskazuje na próbę przeskanowania lub penetracji sieci przez osobę atakującą, która tego nie robi dokładna informacja o jego strukturze;
  • do przekierowania ruchu pochodzącego od celu ataku, jakim jest zasób faktycznie funkcjonujący w sieci operatora telekomunikacyjnego, w celu jego monitorowania i analizy.

Ochrona DDoS przy użyciu specjalnych narzędzi

Koncepcja Cisco Clean Pipes jest pionierem w branży

Nowoczesną koncepcję ochrony przed atakami DDoS opracowała (tak, tak, nie zdziwicie się! :)) przez firmę Cisco Systems. Koncepcja opracowana przez Cisco nosi nazwę Cisco Clean Pipes. Koncepcja opracowana szczegółowo prawie 10 lat temu szczegółowo opisywała podstawowe zasady i technologie zabezpieczeń przed anomaliami w ruchu drogowym, z których większość stosowana jest do dziś, także u innych producentów.

Koncepcja Cisco Clean Pipes obejmuje następujące zasady wykrywania i łagodzenia ataków DDoS.

Wybierane są punkty (odcinki sieci), w których ruch jest analizowany w celu wykrycia anomalii. W zależności od tego, co chronimy, takimi punktami mogą być połączenia peeringowe operatora telekomunikacyjnego z operatorami wyższego szczebla, punkty przyłączenia operatorów niższego poziomu lub abonentów, kanały łączące centra przetwarzania danych z siecią.

Specjalne detektory analizują ruch w tych punktach, budują (badają) profil ruchu w jego normalnym stanie, a gdy pojawia się atak DDoS lub anomalia, wykrywają go, badają i dynamicznie kształtują jego charakterystykę. Ponadto informacje są analizowane przez operatora systemu i półautomatycznie lub tryb automatyczny Rozpoczyna się proces tłumienia ataku. Tłumienie polega na tym, że ruch przeznaczony dla „ofiary” jest dynamicznie przekierowywany przez urządzenie filtrujące, gdzie do tego ruchu stosowane są filtry generowane przez detektor, co odzwierciedla indywidualny charakter ataku. Oczyszczony ruch jest wprowadzany do sieci i wysyłany do odbiorcy (dlatego powstała nazwa Clean Pipes – abonent otrzymuje „czysty kanał”, który nie zawiera ataku).

Tym samym cały cykl ochrony przed atakami DDoS obejmuje następujące główne etapy:

  • Szkolenia z charakterystyki kontrolnej ruchu (profilowanie, Baseline Learning)
  • Wykrywanie ataków i anomalii (Wykrywanie)
  • Przekierowanie ruchu w celu przejścia przez urządzenie czyszczące (Przekierowanie)
  • Filtrowanie ruchu w celu powstrzymania ataków (łagodzenie)
  • Wstrzykiwanie ruchu z powrotem do sieci i wysyłanie go do odbiorcy (Injection).

Kilka funkcji.
Jako detektory można zastosować dwa typy urządzeń:

  • Detektory produkowane przez Cisco Systems to moduły Cisco Traffic Anomaly Detector Services przeznaczone do montażu w obudowie Cisco 6500/7600.
  • Detektory produkowane przez Arbor Networks to urządzenia Arbor Peakflow SP CP.

Poniżej tabela porównująca detektory Cisco i Arbor.

Parametr

Detektor anomalii ruchu Cisco

Arbor Peakflow SP CP

Pobieranie informacji o ruchu drogowym do analizy

Wykorzystuje kopię ruchu przydzielonego do obudowy Cisco 6500/7600

Wykorzystywane są dane o ruchu sieciowym otrzymywane z routerów; próbkowanie można regulować (1: 1, 1: 1000, 1: 10 000 itd.)

Stosowane zasady identyfikacji

Analiza sygnatur (wykrywanie nadużyć) i wykrywanie anomalii (dynamicznyprofilowy)

Przede wszystkim wykrywanie anomalii; stosowana jest analiza podpisów, ale podpisy mają charakter ogólny

Współczynnik kształtu

moduły serwisowe w obudowie Cisco 6500/7600

osobne urządzenia (serwery)

Wydajność

Analizowany jest ruch do 2 Gbit/s

Praktycznie nieograniczona (częstotliwość próbkowania można zmniejszyć)

Skalowalność

Instalacja do 4 modułówCiscoDetektorSMw jedną obudowę (jednak moduły działają niezależnie od siebie)

Możliwość wykorzystania kilku urządzeń w ramach jednego systemu analitycznego, z których jedno ma przypisany status Lidera

Monitorowanie ruchu sieciowego i routingu

Praktycznie nie ma funkcjonalności

Funkcjonalność jest bardzo rozwinięta. Wielu operatorów telekomunikacyjnych kupuje Arbor Peakflow SP ze względu na jego głęboką i wyrafinowaną funkcjonalność monitorowania ruchu i routingu w sieci

Udostępnienie portalu (indywidualny interfejs dla abonenta umożliwiający monitorowanie tylko tej części sieci, która jest z nim bezpośrednio związana)

Nie podano

Pod warunkiem, że. Jest poważną zaletą ta decyzja, ponieważ operator telekomunikacyjny może sprzedawać swoim abonentom indywidualne usługi ochrony przed atakami DDoS.

Kompatybilne urządzenia do czyszczenia ruchu (tłumienie ataków)

Cisco Moduł usług wartowniczych

 Arbor Peakflow SP TMS; Moduł usług Cisco Guard.
Ochrona centrów danych po podłączeniu do Internetu Monitorowanie połączeń downstream sieci abonenckich z siecią operatora telekomunikacyjnego Wykrywanie ataków napod prąd-połączenia sieci operatora telekomunikacyjnego z sieciami dostawców wyższego szczebla Monitoring szkieletu operatora telekomunikacyjnego
Ostatni wiersz tabeli przedstawia scenariusze wykorzystania detektorów firm Cisco i Arbor, które zostały rekomendowane przez Cisco Systems. Scenariusze te przedstawiono na poniższym schemacie.

Jako urządzenie do czyszczenia ruchu Cisco zaleca stosowanie modułu serwisowego Cisco Guard, który jest instalowany w obudowie Cisco 6500/7600 i na polecenie otrzymane z Cisco Detector lub Arbor Peakflow SP CP ruch jest dynamicznie przekierowywany, oczyszczany i ponownie wprowadzany do sieć. Mechanizmy przekierowania to albo aktualizacje BGP do routerów nadrzędnych, albo bezpośrednie polecenia sterujące do osoby nadzorującej przy użyciu zastrzeżonego protokołu. Podczas korzystania z aktualizacji BGP router nadrzędny otrzymuje nową wartość nex-hop dla ruchu zawierającego atak, tak że ruch ten trafia do serwera czyszczącego. Jednocześnie należy zadbać o to, aby informacja ta nie doprowadziła do zorganizowania pętli (aby router downstream wchodząc na niego wyczyszczony ruch nie próbował owijać tego ruchu z powrotem do urządzenia rozliczeniowego) . W tym celu można wykorzystać mechanizmy kontroli dystrybucji aktualizacji BGP za pomocą parametru społeczności lub wykorzystania tuneli GRE przy wejściu do oczyszczonego ruchu.

Taki stan rzeczy istniał do czasu, gdy Arbor Networks znacząco rozszerzyła linię produktów Peakflow SP i zaczęła wchodzić na rynek z całkowicie niezależnym rozwiązaniem chroniącym przed atakami DDoS.

Wprowadzenie Arbor Peakflow SP TMS

Kilka lat temu firma Arbor Networks podjęła decyzję o rozwijaniu swojej linii produktów do ochrony przed atakami DDoS niezależnie i niezależnie od tempa i polityki rozwoju tego obszaru w Cisco. Rozwiązania Peakflow SP CP miały zasadniczą przewagę nad Cisco Detector, ponieważ analizowały informacje o przepływie z możliwością regulacji częstotliwości próbkowania, a zatem nie miały żadnych ograniczeń w zastosowaniu w sieciach operatorów telekomunikacyjnych i na kanałach trunkingowych (w przeciwieństwie do Cisco Detector, który analizuje kopię ruch drogowy ). Dodatkowo, główną zaletą Peakflow SP była możliwość sprzedaży abonentom indywidualnej usługi monitorowania i ochrony segmentów sieci.

Ze względu na te i inne względy firma Arbor znacznie rozszerzyła swoją linię produktów Peakflow SP. Pojawiło się szereg nowych urządzeń:

Peakflow SP TMS (system zarządzania zagrożeniami)- tłumi ataki DDoS poprzez wieloetapowe filtrowanie w oparciu o dane pozyskane z Peakflow SP CP oraz z laboratorium ASERT należącego do Arbor Networks, które monitoruje i analizuje ataki DDoS w Internecie;

Peakflow SP BI (Business Intelligence)- urządzenia zapewniające skalowanie systemu, zwiększające liczbę monitorowanych obiektów logicznych oraz zapewniające redundancję zbieranych i analizowanych danych;

Peakflow SP PI (interfejs portalu)- urządzenia zapewniające wzrost abonentów, wyposażonych w indywidualny interfejs do zarządzania własnym bezpieczeństwem;

Przepływ szczytowy SP FS (Cenzor przepływu)- urządzenia zapewniające monitorowanie routerów abonenckich, połączeń z sieciami downstream i centrami danych.

Zasady działania systemu Arbor Peakflow SP pozostają w zasadzie takie same jak Cisco Clean Pipes, jednakże Arbor regularnie rozwija i udoskonala swoje systemy, dzięki czemu na chwilę obecną funkcjonalność produktów Arbor jest lepsza pod wieloma względami od Cisco, m.in. .

Spotykać się z kimś, maksymalna wydajność Cisco Guard można osiągnąć poprzez utworzenie klastra 4 modułów Guard w jednej obudowie Cisco 6500/7600, ale nie jest realizowane pełne klastrowanie tych urządzeń. Jednocześnie topowe modele Arbor Peakflow SP TMS charakteryzują się wydajnością do 10 Gbps i z kolei umożliwiają klastrowanie.

Po tym, jak firma Arbor zaczęła pozycjonować się jako niezależny gracz na rynku wykrywania i tłumienia ataków DDoS, Cisco zaczęło szukać partnera, który zapewniłby jej tak potrzebne monitorowanie danych o przepływie ruchu sieciowego, ale nie byłby bezpośrednim konkurent. Taką firmą był Narus, który produkuje systemy monitorowania ruchu w oparciu o dane o przepływach (NarusInsight) i nawiązał współpracę z Cisco Systems. Jednak to partnerstwo nie doczekało się poważnego rozwoju i obecności na rynku. Co więcej, według niektórych raportów, Cisco nie planuje inwestować w swoje rozwiązania Cisco Detector i Cisco Guard, w rzeczywistości pozostawiając tę ​​niszę Arbor Networks.

Niektóre cechy rozwiązań Cisco i Arbor

Warto zwrócić uwagę na niektóre cechy rozwiązań Cisco i Arbor.

  1. Cisco Guard może być używany w połączeniu z detektorem lub niezależnie. W tym drugim przypadku instalowany jest w trybie in-line i pełni funkcje detektora analizującego ruch, a w razie potrzeby włącza filtry i kasuje ruch. Wadą tego trybu jest to, że po pierwsze dodawany jest dodatkowy punkt potencjalnej awarii, a po drugie dodatkowe opóźnienie ruchu (choć do momentu włączenia mechanizmu filtrującego jest ono niewielkie). Zalecanym trybem dla Cisco Guard jest oczekiwanie na polecenie przekierowania ruchu zawierającego atak, jego filtrowanie i wprowadzenie z powrotem do sieci.
  2. Urządzenia Arbor Peakflow SP TMS mogą również działać w trybie off-ramp lub in-line. W pierwszym przypadku urządzenie biernie czeka na polecenie przekierowania ruchu zawierającego atak, aby go usunąć i ponownie wprowadzić do sieci. W drugim przepuszcza cały ruch przez siebie, generuje na jego podstawie dane w formacie Arborflow i przesyła je do Peakflow SP CP w celu analizy i wykrywania ataków. Arborflow to format podobny do Netflow, ale zmodyfikowany przez firmę Arbor na potrzeby systemów Peakflow SP. Monitorowanie ruchu i wykrywanie ataków realizowane jest przez Peakflow SP CP w oparciu o dane Arborflow otrzymane z TMS. Po wykryciu ataku operator Peakflow SP CP wydaje polecenie jego stłumienia, po czym TMS włącza filtry i usuwa ruch z ataku. W przeciwieństwie do Cisco, serwer Peakflow SP TMS nie może pracować samodzielnie, do jego działania niezbędny jest serwer Peakflow SP CP, który analizuje ruch.
  3. Obecnie większość ekspertów zgadza się, że zadania polegające na ochronie lokalnych odcinków sieci (na przykład łączenie centrów danych lub łączenie sieci downstream) są skuteczne

Prawdopodobnie wielu współczesnych użytkowników komputerów i Internetu słyszało o obecności ataków DDoS przeprowadzanych przez osoby atakujące na dowolne strony internetowe lub serwery dużych firm. Przyjrzyjmy się, czym jest atak DDoS, jak przeprowadzić go samodzielnie i jak się przed takimi działaniami zabezpieczyć.

Co to jest atak DDoS?

Być może warto na początek zrozumieć, czym są takie nielegalne działania. Wyjaśnijmy od razu, że rozważając temat „Atak DDoS: jak to zrobić samemu”, informacje będą podawane wyłącznie w celach informacyjnych, a nie do praktycznego wykorzystania. Wszelkie tego typu działania są karalne.

Sam atak, ogólnie rzecz biorąc, polega na wysłaniu wystarczająco dużej liczby żądań do serwera lub strony internetowej, co w przypadku przekroczenia limitu żądań blokuje działanie zasobu sieciowego lub usługi dostawcy w postaci zamknięcia serwer za pomocą oprogramowania zabezpieczającego, zapory ogniowe lub specjalistyczny sprzęt.

Oczywiste jest, że atak DDoS typu „zrób to sam” nie może zostać przeprowadzony przez jednego użytkownika z jednego terminala komputerowego bez specjalne programy. W końcu nie będzie siedział całymi dniami i co minutę wysyłał żądania do zaatakowanej witryny. Taka liczba nie będzie działać, gdyż każdy dostawca zapewnia ochronę przed atakami DDoS, a jeden użytkownik nie jest w stanie dostarczyć do serwera lub witryny takiej liczby żądań, która w krótkim czasie przekroczyłaby limit żądań i uruchomiłaby różne mechanizmy ochronne. Będziesz więc musiał użyć czegoś innego, aby stworzyć własny atak. Ale o tym później.

Dlaczego pojawia się zagrożenie?

Jeśli rozumiesz, czym jest atak DDoS, jak go przeprowadzić i wysyłasz do serwera nadmierną liczbę żądań, warto zastanowić się, za pomocą jakich mechanizmów przeprowadzane są takie działania.

Mogą to być te zawodne, które nie są w stanie poradzić sobie z ogromną liczbą żądań, luki w systemie bezpieczeństwa dostawcy lub w samych systemach operacyjnych, brak zasobów systemowych do przetwarzania przychodzących żądań z dalszymi zawieszaniami lub awariami systemu itp.

U zarania tego zjawiska ataki DDoS typu „zrób to sam” przeprowadzali głównie sami programiści, którzy przy jego pomocy tworzyli i testowali działanie systemów ochronnych. Nawiasem mówiąc, kiedyś nawet tacy giganci IT, jak Yahoo, Microsoft, eBay, CNN i wielu innych, ucierpieli z powodu działań napastników, którzy wykorzystali komponenty DoS i DDoS jako broń. Kluczowym punktem w tych sytuacjach były próby wyeliminowania konkurentów w zakresie ograniczania dostępu do ich zasobów Internetu.

Ogólnie rzecz biorąc, współcześni sprzedawcy elektroniki robią to samo. Aby to zrobić, wystarczy pobrać program do ataków DDoS, a potem, jak mówią, jest to kwestia techniki.

Rodzaje ataków DDoS

Teraz kilka słów o klasyfikacji ataków tego typu. Najważniejsze dla wszystkich jest wyłączenie serwera lub strony internetowej. Do pierwszego typu zaliczają się błędy związane z wysyłaniem do serwera błędnych instrukcji do wykonania, w wyniku czego następuje zawieszenie jego działania. Drugą opcją jest masowe wysyłanie danych użytkownika, prowadzące do niekończącej się (cyklicznej) kontroli przy rosnącym obciążeniu zasobów systemowych.

Trzeci typ to powódź. Z reguły jest to zadanie polegające na wysyłaniu niepoprawnie sformułowanych (bezsensownych) żądań do serwera lub sprzętu sieciowego w celu zwiększenia obciążenia. Czwarty typ to tzw. zatykanie kanałów komunikacyjnych fałszywymi adresami. Można także zastosować atak, prowadzący do tego, że w samym system komputerowy konfiguracja ulega zmianie, co prowadzi do jej całkowitej niesprawności. Ogólnie rzecz biorąc, lista może zająć dużo czasu.

Atak DDoS na witrynę

Z reguły taki atak jest powiązany z konkretnym hostingiem i jest wymierzony wyłącznie w jeden predefiniowany zasób sieciowy (w przykładzie na poniższym zdjęciu jest on umownie oznaczony jako example.com).

W przypadku zbyt dużej liczby wywołań do witryny, zakłócenia w komunikacji wynikają z blokowania komunikacji nie przez samą witrynę, ale przez serwerową część usługi dostawcy, czy raczej nawet nie przez sam serwer lub system bezpieczeństwa, ale przez usługa wsparcia. Innymi słowy, takie ataki mają na celu zapewnienie, że właściciel hostingu otrzyma od dostawcy odmowę usługi w przypadku przekroczenia określonego umownego limitu ruchu.

Atak DDoS na serwer

Jeśli chodzi o ataki na serwery, tutaj nie są one skierowane na żaden konkretny hosting, ale konkretnie na dostawcę, który go zapewnia. I nie ma znaczenia, że ​​właściciele witryn mogą z tego powodu ucierpieć. Główną ofiarą jest dostawca.

Aplikacja do organizowania ataków DDoS

Teraz zrozumieliśmy, jak to zrobić za pomocą specjalistycznych narzędzi, teraz to rozwiążemy. Od razu zaznaczmy, że aplikacje tego typu nie są szczególnie sklasyfikowane. Są one dostępne w Internecie dla Darmowe pobieranie. Na przykład najprostszy i najbardziej znany program do ataków DDoS o nazwie LOIC jest dostępny bezpłatnie na stronie Sieć WWW Do załadunku. Za jego pomocą można atakować jedynie witryny i terminale o znanych wcześniej adresach URL i IP.

Ze względów etycznych nie będziemy teraz zastanawiać się, jak uzyskać adres IP ofiary. Zakładamy, że mamy dane początkowe.

Do uruchomienia aplikacji wykorzystywany jest plik wykonywalny Loic.exe, po którym dwa górne linie Oryginalne adresy wprowadza się po lewej stronie, a następnie wciska się dwa przyciski „Zablokuj” - nieco w prawo naprzeciw każdej linii. Następnie w oknie pojawi się adres naszej ofiary.

Na dole znajdują się suwaki umożliwiające dostosowanie szybkości transmisji żądań dla protokołów TCP/UDF i HTTP. Domyślnie wartość jest ustawiona na „10”. Zwiększ go do maksymalnego poziomu, a następnie naciśnij duży przycisk „IMMA CHARGIN MAH LAZER”, aby rozpocząć atak. Można go zatrzymać, naciskając ponownie ten sam przycisk.

Oczywiście jeden taki program, często nazywany „pistoletem laserowym”, nie będzie w stanie spowodować problemów dla jakiegoś poważnego zasobu lub dostawcy, ponieważ ochrona przed atakami DDoS jest dość potężna. Ale jeśli grupa ludzi użyje kilkunastu lub więcej takich broni jednocześnie, można coś osiągnąć.

Ochrona przed atakami DDoS

Z drugiej strony, każdy, kto podejmie próbę ataku DDoS, powinien zrozumieć, że po „drugiej” stronie też nie ma głupców. Mogą łatwo ustalić adresy, z których przeprowadzany jest taki atak, a to wiąże się z najpoważniejszymi konsekwencjami.

Jeśli chodzi o zwykłych właścicieli hostingu, dostawca zazwyczaj od razu udostępnia pakiet usług z odpowiednią ochroną. Istnieje wiele sposobów zapobiegania takim działaniom. Oznacza to, powiedzmy, przekierowanie ataku do atakującego, redystrybucję przychodzących żądań do kilku serwerów, filtrowanie ruchu, powielanie systemów ochrony w celu zapobiegania fałszywym alarmom, zwiększanie zasobów itp. Ogólnie rzecz biorąc, przeciętny użytkownik nie ma się czym martwić.

Zamiast posłowia

Myślę, że z tego artykułu jasno wynika, że ​​samodzielne wykonanie ataku DDoS, jeśli posiadasz specjalne oprogramowanie i pewne początkowe dane, nie będzie trudne. Inną sprawą jest to, czy warto to robić, zwłaszcza dla niedoświadczonego użytkownika, który zdecydował się na pofolgowanie sobie w imię sportu? Każdy musi zrozumieć, że jego działania i tak spowodują podjęcie działań odwetowych ze strony zaatakowanej i, co do zasady, nie na korzyść użytkownika, który przeprowadził atak. Ale zgodnie z kodeksami karnymi większości krajów za takie czyny można, jak mówią, wylądować w miejscach nie tak odległych przez kilka lat. Kto tego chce?

Na systemie komputerowym w celu doprowadzenia go do awarii, to znaczy stworzenia warunków, w których legalni (prawowici) użytkownicy systemu nie mogą uzyskać dostępu do zasobów (serwerów) udostępnianych przez system lub dostęp ten jest utrudniony. Awaria „wrogiego” systemu może być także krokiem w kierunku opanowania systemu (jeśli w sytuacji awaryjnej oprogramowanie wygeneruje jakiekolwiek krytyczne informacje – na przykład wersję, fragment kodu programu itp.). Częściej jednak jest to miara presji ekonomicznej: przestój usługi generującej przychody, rachunki od dostawcy i środki mające na celu uniknięcie ataku znacząco uderzają w „cel” po kieszeni.

Jeśli atak zostanie przeprowadzony jednocześnie z duża liczba komputery, o których mówią Atak DDoS(z angielskiego Rozproszona odmowa usługi, rozproszony atak typu „odmowa usługi”.). W niektórych przypadkach faktyczny atak DDoS spowodowany jest niezamierzonym działaniem, na przykład umieszczeniem w popularnym zasobie internetowym linku do strony hostowanej na niezbyt produktywnym serwerze (efekt ukośnika). Duży napływ użytkowników prowadzi do nadmiaru dopuszczalne obciążenie do serwera i w konsekwencji odmowa obsługi niektórych z nich.

Rodzaje ataków DoS

Istnieje wiele powodów, dla których może wystąpić stan DoS:

  • Błąd w kodzie programu, co prowadzi do dostępu do niewykorzystanego fragmentu przestrzeni adresowej, wykonania nieprawidłowej instrukcji lub innego nieobsłużonego wyjątku w przypadku awarii programu serwera - programu serwera. Klasycznym przykładem jest odwrócenie o zero. zero) adres.
  • Niewystarczająca weryfikacja danych użytkownika, prowadzące do niekończącego się lub długiego cyklu lub zwiększonego długotrwałego zużycia zasobów procesora (aż do wyczerpania zasobów procesora) lub alokacji dużej ilości pamięć o dostępie swobodnym(do wyczerpania dostępnej pamięci).
  • Powódź(Język angielski) powódź- „powódź”, „przepełnienie”) – atak związany z dużą liczbą, zazwyczaj bezsensownych lub nieprawidłowo sformatowanych żądań kierowanych do systemu komputerowego lub sprzętu sieciowego, mający na celu lub prowadzący do awarii systemu na skutek wyczerpania zasobów systemowych – procesor, pamięć lub kanały komunikacyjne.
  • Atak drugiego typu- atak mający na celu wywołanie fałszywego alarmu systemu bezpieczeństwa i tym samym doprowadzenie do niedostępności zasobu.

Jeżeli atak (zwykle powódź) przeprowadzany jest jednocześnie z dużej liczby adresów IP – z kilku komputerów rozproszonych w sieci – wówczas w tym przypadku nazywa się to Rozpowszechniane atak typu „odmowa usługi” ( DDoS).

Wykorzystanie błędów

Wykorzystać to program, fragment kodu oprogramowania lub sekwencja poleceń oprogramowania, które wykorzystują luki w zabezpieczeniach oprogramowanie i wykorzystane do przeprowadzenia ataku na system cybernetyczny. Spośród exploitów, które prowadzą do ataku DoS, ale nie nadają się na przykład do przejęcia kontroli nad „wrogim” systemem, najbardziej znane to WinNuke i Ping of death.

Powódź

O powodzi jako pogwałceniu netykiety zob. powódź.

Powódź wywołaj ogromny strumień bezsensownych żądań różne komputery w celu zajęcia systemu „wroga” (procesora, pamięci RAM lub kanału komunikacyjnego) pracą i tym samym czasowego wyłączenia go. Pojęcie „ataku DDoS” jest niemal równoznaczne z pojęciem „powodzi” i w życiu codziennym oba pojęcia są często stosowane zamiennie („zalanie serwera” = „DDoS serwer”).

Aby wywołać powódź, można użyć zarówno zwykłych narzędzi sieciowych, takich jak ping (na przykład znana jest z tego społeczność internetowa „Upyachka”), jak i specjalnych programów. Możliwość ataków DDoS jest często „wbudowana” w botnety. Jeśli w witrynie o dużym ruchu zostanie wykryta luka w zabezpieczeniach typu cross-site scripting lub możliwość dołączania obrazów z innych zasobów, witryna ta może również zostać wykorzystana do ataku DDoS.

Zalanie kanału komunikacyjnego i podsystemu TCP

Każdy komputer, który ma połączenie ze światem zewnętrznym za pośrednictwem protokołu TCP/IP, jest podatny na następujące rodzaje zalania:

  • SYN Flood – w przypadku tego typu ataku typu Flood, do zaatakowanego węzła wysyłana jest duża liczba pakietów SYN za pośrednictwem protokołu TCP (żądania otwarcia połączenia). W takim przypadku po krótkim czasie na zaatakowanym komputerze wyczerpuje się liczba gniazd (programowych gniazd sieciowych, portów) dostępnych do otwarcia, a serwer przestaje odpowiadać.
  • Powódź UDP - tego typu powódź nie atakuje komputera docelowego, ale jego kanał komunikacyjny. Dostawcy rozsądnie zakładają, że pakiety UDP powinny zostać dostarczone jako pierwsze, a protokół TCP może poczekać. Duża liczba pakietów UDP o różnych rozmiarach blokuje kanał komunikacyjny, a serwer działający na protokole TCP przestaje odpowiadać.
  • Zalanie ICMP to to samo, ale przy użyciu pakietów ICMP.

Powódź na poziomie aplikacji

Wiele usług jest zaprojektowanych w taki sposób, że małe żądanie może spowodować duże zużycie mocy obliczeniowej na serwerze. W tym przypadku atakowany jest nie kanał komunikacyjny czy podsystem TCP, ale sama usługa – zalew podobnych „chorych” żądań. Na przykład serwery WWW są podatne na zalewanie HTTP; albo proste żądanie GET /, albo złożone żądanie bazy danych, takie jak GET /index.php?search=, może zostać użyte do wyłączenia serwera WWW.<случайная строка> .

Wykrywanie ataków DoS

Istnieje opinia, że ​​nie są potrzebne specjalne narzędzia do wykrywania ataków DoS, gdyż faktu ataku DoS nie można ignorować. W wielu przypadkach jest to prawdą. Jednak dość często obserwowano udane ataki DoS, które ofiary zauważały dopiero po 2-3 dniach. Zdarzało się, że negatywne skutki ataku ( powódź-ataki) spowodowały niepotrzebne koszty płacenia za nadmierny ruch w Internecie, co stało się jasne dopiero po otrzymaniu faktury od dostawcy Internetu. Ponadto wiele metod wykrywania ataków jest nieskutecznych w pobliżu celu ataku, ale są skuteczne w przypadku szkieletów sieci. W takim przypadku wskazane jest zainstalowanie tam systemów wykrywających, zamiast czekać, aż zaatakowany użytkownik sam to zauważy i zwróci się o pomoc. Dodatkowo, aby skutecznie przeciwdziałać atakom DoS, konieczna jest znajomość rodzaju, charakteru i innych cech ataków DoS, a systemy detekcji pozwalają na szybkie uzyskanie tych informacji.

Metody wykrywania ataków DoS można podzielić na kilka dużych grup:

  • podpis - na podstawie jakościowej analizy ruchu.
  • statystyczne – oparte na ilościowej analizie ruchu.
  • hybrydowy (kombinowany) - łączący zalety obu powyższych metod.

Ochrona przed atakami DoS

Środki przeciwdziałania atakom DoS można podzielić na pasywne i aktywne oraz zapobiegawcze i reakcyjne.

Poniżej znajduje się krótka lista głównych metod.

  • Zapobieganie. Zapobieganie przyczynom, które skłaniają określone osoby do organizowania i przeprowadzania ataków DoS. (Bardzo często cyberataki są na ogół wynikiem osobistych skarg, nieporozumień politycznych, religijnych i innych, prowokujących zachowań ofiary itp.)
  • Filtracja i blackholing. Blokowanie ruchu pochodzącego z maszyn atakujących. Skuteczność tych metod maleje w miarę zbliżania się do celu ataku i wzrasta w miarę zbliżania się do atakującej maszyny.
  • Odwróć DDoS- przekierowanie ruchu wykorzystywanego do ataku do atakującego.
  • Eliminacja luk. Nie działa przeciwko powódź-ataki, dla których „luką” jest skończoność niektórych zasobów systemowych.
  • Zwiększanie zasobów. Oczywiście nie zapewnia całkowitej ochrony, ale stanowi dobre tło do stosowania innych rodzajów zabezpieczeń przed atakami DoS.
  • Rozproszenie. Budowanie rozproszonych i redundantnych systemów, które nie przestaną obsługiwać użytkowników, nawet jeśli niektóre ich elementy staną się niedostępne w wyniku ataku DoS.
  • Uchylanie się. Przesunięcie bezpośredniego celu ataku (nazwy domeny lub adresu IP) z dala od innych zasobów, które często są również narażone wraz z bezpośrednim celem ataku.
  • Aktywna odpowiedź. Wpływ na źródła, organizatora lub ośrodek kontroli ataku, zarówno środkami technologicznymi, jak i organizacyjno-prawnymi.
  • Używanie sprzętu do odpierania ataków DoS. Na przykład DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® i od innych producentów.
  • Zakup usługi ochrony przed atakami DoS. Ma to znaczenie, jeśli zalanie przekracza przepustowość kanału sieciowego.

Zobacz też

Notatki

Literatura

  • Chrisa Kaspersky'ego Wirusy komputerowe wewnątrz i na zewnątrz. - Piotr. - Petersburgu. : Peter, 2006. - s. 527. - ISBN 5-469-00982-3
  • Stephena Northcutta, Marka Coopera, Matta Fearnowa i Karen Frederik. Analiza typowych naruszeń bezpieczeństwa w sieciach = Sygnatury i analiza włamań. - New Riders Publishing (angielski) St. Petersburg: Williams Publishing House (rosyjski), 2001. - s. 464. - ISBN 5-8459-0225-8 (rosyjski), 0-7357-1063-5 (angielski)
  • Morris, R. T.= Słabość w oprogramowaniu TCP/IP Unix 4.2BSD. - Raport techniczny z zakresu informatyki nr 117. — Laboratoria AT&T Bell, luty 1985.
  • Bellovin, S. M.= Problemy bezpieczeństwa w pakiecie protokołów TCP/IP. - Przegląd komunikacji komputerowej, tom. 19, nr 2. - Laboratoria AT&T Bell, kwiecień 1989.
  • =daemon9/route/infinity "Buforowanie adresów IP wyjaśnione: wykorzystanie realizacji zaufania." - Phrack Magazine, tom 7, wydanie 48. - Produkcja gildii, lipiec 1996.
  • =daemon9/route/infinity „Projekt Neptun”. - Phrack Magazine, tom 7, wydanie 48. - Produkcja gildii, lipiec 1996.

Spinki do mankietów

  • Atak DOS w katalogu łączy projektu Open Directory (