Kako izvesti DDoS napad in biti zaprt za sedem let. DDoS napad: kako to storiti? Programi za DDoS napade Kaj je DDoS

Verjetno je veliko sodobnih uporabnikov računalnikov in interneta že slišalo za prisotnost napadov DDoS, ki jih izvajajo napadalci na katera koli spletna mesta ali strežnike velikih podjetij. Poglejmo, kaj je napad DDoS, kako ga narediti sami in kako se zaščititi pred takimi dejanji.

Kaj je napad DDoS?

Za začetek je morda vredno razumeti, kaj so takšna nezakonita dejanja. Naj takoj pojasnimo, da bodo informacije pri obravnavi teme »Napad DDoS: kako to narediti sami« podane izključno v informativne namene in ne za praktično uporabo. Vsa tovrstna dejanja so kazensko kazniva.

Sam napad v glavnem pošilja dovolj veliko število zahtev na strežnik ali spletno mesto, ki v primeru prekoračitve omejitve zahtev blokira delovanje spletnega vira ali storitve ponudnika v obliki zaustavitve strežnika. z uporabo varnostne programske opreme, požarnih zidov ali posebne opreme.

Jasno je, da DIY DDoS napada ne more ustvariti en uporabnik z enega računalniškega terminala brez posebnih programov. Navsezadnje ne bo več dni sedel in vsako minuto pošiljal zahteve napadenemu mestu. Takšno število ne bo delovalo, saj vsak ponudnik zagotavlja zaščito pred napadi DDoS, en uporabnik pa ne more posredovati takšnega števila zahtev strežniku ali spletnemu mestu, ki bi v kratkem času preseglo omejitev zahtev in sprožilo različne zaščitne mehanizme. Torej boste morali uporabiti nekaj drugega, da ustvarite svoj napad. A več o tem kasneje.

Zakaj nastane grožnja?

Če razumete, kaj je napad DDoS, kako ga izvesti in poslati prekomerno število zahtev na strežnik, je vredno razmisliti o mehanizmih, s katerimi se izvajajo takšna dejanja.

To so lahko nezanesljivi, ki se ne morejo soočiti z ogromnim številom zahtev, vrzeli v varnostnem sistemu ponudnika ali v samih operacijskih sistemih, pomanjkanje sistemskih virov za obdelavo dohodnih zahtev z nadaljnjimi zamrznitvami ali zrušitvami sistema itd.

Na zori tega pojava so DDoS napade "naredi sam" izvajali predvsem programerji sami, ki so z njegovo pomočjo ustvarili in testirali delovanje zaščitnih sistemov. Mimogrede, nekoč so celo takšni IT velikani, kot so Yahoo, Microsoft, eBay, CNN in mnogi drugi, trpeli zaradi dejanj napadalcev, ki so komponente DoS in DDoS uporabljali kot orožje. Ključna točka v teh situacijah so bili poskusi eliminacije konkurentov v smislu omejevanja dostopa do njihovih internetnih virov.

Na splošno sodobni elektronski trgovci počnejo isto. Če želite to narediti, preprosto prenesite program za napade DDoS, potem pa je, kot pravijo, stvar tehnike.

Vrste DDoS napadov

Zdaj pa nekaj besed o klasifikaciji tovrstnih napadov. Glavna stvar za vse je, da onemogočite strežnik ali spletno stran. Prva vrsta vključuje napake, povezane s pošiljanjem napačnih navodil strežniku za izvedbo, zaradi česar se njegovo delovanje zruši. Druga možnost je množično pošiljanje uporabniških podatkov, kar vodi v neskončno (ciklično) preverjanje z naraščajočo obremenitvijo sistemskih virov.

Tretja vrsta je poplava. Praviloma gre za nalogo pošiljanja nepravilno oblikovanih (nesmiselnih) zahtev strežniku ali omrežni opremi z namenom povečanja obremenitve. Četrta vrsta je tako imenovana zamašitev komunikacijskih kanalov z lažnimi naslovi. Uporabi se lahko tudi napad, ki povzroči spremembe v konfiguraciji samega računalniškega sistema, kar povzroči njegovo popolno nedelovanje. Na splošno lahko seznam traja dolgo.

DDoS napad na spletno stran

Praviloma je tak napad povezan z določenim gostovanjem in je usmerjen izključno na en vnaprej določen spletni vir (v primeru na spodnji fotografiji je konvencionalno označen kot example.com).

Če je klicev na stran preveč, pride do motenj komunikacije zaradi blokade komunikacije ne s strani same strani, temveč s strani strežniškega dela storitve ponudnika, oziroma niti s strani samega strežnika ali varnostnega sistema, temveč s strani podporna služba. Z drugimi besedami, cilj takšnih napadov je zagotoviti, da lastnik gostovanja od ponudnika prejme zavrnitev storitve, če je presežena določena pogodbena omejitev prometa.

DDoS napad na strežnik

Kar zadeva napade na strežnike, tukaj ti niso usmerjeni na neko specifično gostovanje, ampak konkretno na ponudnika, ki ga zagotavlja. In ni pomembno, da lahko zaradi tega trpijo lastniki spletnih mest. Glavna žrtev je ponudnik.

Aplikacija za organiziranje DDoS napadov

Zdaj smo prišli do razumevanja, kako to storiti s pomočjo specializiranih pripomočkov, zdaj bomo to ugotovili. Naj takoj opozorimo, da aplikacije te vrste niso posebej razvrščene. Na voljo so za brezplačen prenos na internetu. Na primer, najpreprostejši in najbolj znan program za napade DDoS, imenovan LOIC, je prosto dostopen na svetovnem spletu za prenos. Z njegovo pomočjo lahko napadate le strani in terminale s predhodno znanimi naslovi URL in IP.

Zaradi etičnih razlogov zdaj ne bomo razmišljali o tem, kako pridobiti naslov IP žrtve. Predvidevamo, da imamo začetne podatke.

Za zagon aplikacije se uporabi izvedljiva datoteka Loic.exe, po kateri se naslovi vira vnesejo v zgornji dve vrstici na levi strani, nato pa pritisneta dva gumba »Zakleni« - rahlo desno nasproti vsake vrstice . Po tem se bo v oknu pojavil naslov naše žrtve.

Na dnu so drsniki za prilagajanje hitrosti prenosa zahtev za TCP/UDF in HTTP. Privzeto je vrednost nastavljena na "10". Povečajte ga do meje, nato pritisnite velik gumb "IMMA CHARGIN MAH LAZER", da začnete napad. Ustavite ga lahko s ponovnim pritiskom istega gumba.

Seveda en tak program, ki se pogosto imenuje "laserska pištola", ne bo mogel povzročiti težav resnemu viru ali ponudniku, saj je zaščita pred napadi DDoS precej močna. Če pa skupina ljudi uporablja ducat ali več teh pušk hkrati, se da nekaj doseči.

Zaščita pred DDoS napadi

Po drugi strani pa mora vsak, ki poskuša poskusiti napad DDoS, razumeti, da tudi na »drugi« strani ni norcev. Z lahkoto lahko ugotovijo naslove, s katerih se izvaja takšen napad, in to je polno najhujših posledic.

Ponudnik navadnim lastnikom gostovanja običajno takoj zagotovi paket storitev z ustrezno zaščito. Obstaja veliko načinov za preprečevanje takšnih dejanj. To je, recimo, preusmeritev napada na napadalca, prerazporeditev dohodnih zahtev na več strežnikov, filtriranje prometa, podvajanje zaščitnih sistemov za preprečevanje lažnih pozitivnih rezultatov, povečanje virov itd. Na splošno povprečni uporabnik nima razloga za skrb.

Namesto spremne besede

Mislim, da iz tega članka postane jasno, da napad DDoS izvedete sami, če imate posebno programsko opremo in nekaj začetnih podatkov, ne bo težko. Druga stvar je, ali je vredno to storiti, zlasti za neizkušenega uporabnika, ki se je odločil za razvajanje zaradi športa? Vsi morajo razumeti, da bodo njihova dejanja v vsakem primeru povzročila povračilne ukrepe s strani napadene strani in praviloma ne v korist uporabnika, ki je napad sprožil. Toda glede na kazenske zakonike večine držav lahko za takšna dejanja nekaj let končate, kot pravijo, v krajih, ki niso tako oddaljeni. Kdo hoče to?

Napad DDoS (Distributed Denial of Service attack) je niz dejanj, ki lahko popolnoma ali delno onemogočijo internetni vir. Žrtev je lahko skoraj vsak internetni vir, kot je spletno mesto, strežnik za igre ali vladni vir. Trenutno je skoraj nemogoče, da bi heker sam organiziral napad DDoS. V večini primerov napadalec uporabi omrežje računalnikov, okuženih z virusom. Virus vam omogoča pridobitev potrebnega in zadostnega oddaljenega dostopa do okuženega računalnika. Mreža takih računalnikov se imenuje botnet. Botneti imajo praviloma koordinacijski strežnik. Ko se napadalec odloči za napad, pošlje ukaz koordinacijskemu strežniku, ki vsem sporoča, naj začnejo izvajati zlonamerne omrežne zahteve.

Razlogi za DDoS napade

  • Osebna sovražnost

Ta razlog se pojavlja precej pogosto. Pred časom je neodvisni novinar-raziskovalec Brian Krebs razkril delovanje največje storitve za izvajanje DDoS napadov po meri – vDOS. Informacije so bile predstavljene v vseh podrobnostih, kar je vodilo do aretacije organizatorjev te storitve. V odgovor so hekerji izvedli napad na novinarjev blog, katerega moč je dosegla 1 Tbit/s. Ta napad je bil najmočnejši na svetu v zadnjih letih.

  • Zabava

Dandanes postaja vse lažje sami organizirati primitivni DDoS napad. Takšen napad bi bil izjemno nepopoln in anonimen. Žal večina tistih, ki se odločijo, da se bodo počutili kot »hekerji«, nima pojma ne o prvem ne o drugem. Vendar pa mnogi šolarji pogosto izvajajo napade DDoS. Izid takih primerov je lahko zelo raznolik.

  • Politični protest (haktivizem)

Eden prvih družbeno motiviranih napadov je bil napad DDoS, ki ga je leta 1996 izvedel heker Omega. Omega je bil član hekerske koalicije "Cult of the Dead Crew" (cDc). Izraz haktivizem je postal priljubljen v medijih zaradi vse pogostejših družbeno motiviranih kibernetskih napadov. Tipična predstavnika haktivistov sta skupini Anonymous in LulzSec.

  • Nelojalna konkurenca

Takšni motivi so pogosti v industriji igralnih strežnikov, vendar so takšni primeri precej pogosti tudi v trgovski industriji. Precej učinkovit način nelojalne konkurence, ki lahko uniči ugled trgovalne platforme, če se njeni lastniki ne obrnejo pravočasno na strokovnjake za pomoč. Ta motiv lahko med ostalimi ločimo kot najpogostejšega.

  • Izsiljevanje ali izsiljevanje

V tem primeru napadalec od morebitne žrtve zahteva denarno vsoto, ker napada ne izvede. Ali za njegovo prenehanje. Velike organizacije pogosto postanejo žrtve takšnih napadov, na primer leta 2014 sta bila napadena banka Tinkoff in IT-vir Habrahabr, največji sledilnik torrentov Rutracker.org (kako je bilo to?).

Posledice DDoS napadov

Posledice napadov DDoS so lahko zelo različne, od zaustavitve podatkovnega centra do popolne izgube ugleda vira in pretoka strank. Številne organizacije se zaradi varčevanja nevede odločijo za brezvestne ponudnike varnosti, kar pogosto ne prinese nobene koristi. Da bi se izognili takšnim težavam, priporočamo, da se obrnete na strokovnjake v vaši panogi.

Napadi, ki so se zapisali v zgodovino interneta

Tehnološki napredek skokovito napreduje, napadalci pa se na vse pretege trudijo, da ne bi mirovali in izvajajo vse bolj kompleksne in močne napade. Zbrali smo kratek opis najbolj zanimivih primerov, ki so se zapisali v zgodovino napadov DDoS. Nekateri od njih se morda zdijo običajni po sodobnih standardih, toda v času, ko so se zgodili, so bili to zelo obsežni napadi.

Ping mrtvih. Metoda napada, ki temelji na ukazu ping. Ta napad je postal priljubljen v devetdesetih letih zaradi nepopolne omrežne opreme. Bistvo napada je pošiljanje ene same zahteve ping omrežnemu vozlišču, telo paketa pa ne vključuje standardnih 64 bajtov podatkov, temveč 65535 bajtov. Ko bi bil prejet tak paket, bi se omrežni sklad opreme prepolnil in povzročil zavrnitev storitve.

Napad, ki je vplival na stabilnost interneta. Leta 2013 je bil Spamhaus žrtev napada s kapaciteto več kot 280 Gbps. Najbolj zanimivo pa je, da so hekerji za napad uporabili DNS strežnike iz interneta, ki pa so bili posledično zelo obremenjeni z velikim številom zahtev. Tisti dan se je na milijone uporabnikov pritoževalo nad počasnim nalaganjem strani zaradi preobremenjenosti storitve.

Rekordni napad s prometom nad 1 Tbit/s. Leta 2016 so nas hekerji poskušali napasti s paketnim napadom s hitrostjo 360 Mpps in 1 Tbps. Ta številka je postala rekordna od obstoja interneta. Toda tudi pod takim napadom smo preživeli in obremenitev omrežja je le nekoliko omejila prosta sredstva omrežne opreme.

Značilnosti današnjih napadov

Če izvzamemo vrhunce napadov, lahko rečemo, da se moč napadov vsako leto poveča več kot 3-4 krat. Geografija napadalcev se iz leta v leto le delno spreminja, ker je to posledica največjega števila računalnikov v določeni državi. Kot je razvidno iz četrtletnega poročila za leto 2016, ki so ga pripravili naši strokovnjaki, so rekordne države po številu botov Rusija, ZDA in Kitajska.

Kakšne so vrste napadov DDoS?

Trenutno lahko vrste napadov razdelimo v 3 razrede:

    Napadi poplavljanja kanala

Ta vrsta napada vključuje in;

    Napadi, ki izkoriščajo ranljivosti v skladu omrežnih protokolov

Najbolj priljubljeni in zanimivi napadi te vrste so napadi /.

Zakaj izbrati nas? Naša oprema se nahaja v ključnih podatkovnih centrih po vsem svetu in je sposobna premagati napade do 300 Gbps ali 360 milijonov paketov na sekundo. Imamo tudi omrežje za dostavo vsebin () in dežurno osebje inženirjev v primeru nestandardnega napada ali izrednih razmer. Če torej stojite pod našo zaščito, ste lahko prepričani o razpoložljivosti svojega vira 24/7. Zaupajo nam: REG.RU, Argumenti in dejstva, WebMoney, ruski radijski holding GPM in druge korporacije.

Zaščito pred le majhnim številom napadov lahko implementirate sami, tako da analizirate promet ali nastavite pravila usmerjanja. Podane so metode za zaščito pred nekaterimi napadi.

DoS in DDoS napad je agresiven zunanji vpliv na računalniške vire strežnika ali delovne postaje, ki se izvaja z namenom, da slednjo pripelje do odpovedi. Z okvaro ne mislimo na fizično okvaro stroja, temveč na nedostopnost njegovih virov dobrovernim uporabnikom – sistem jih zavrača servisirati ( D enial o f S ervice, iz česar izhaja okrajšava DoS).

Če je takšen napad izveden iz enega samega računalnika, je razvrščen kot DoS (DoS), če iz več - DDoS (DiDoS ali DDoS), kar pomeni "D razdeljeno D enial o f S ervice" - porazdeljena zavrnitev storitve. Nato bomo govorili o tem, zakaj napadalci izvajajo takšne napade, kaj so, kakšno škodo povzročijo napadenemu in kako lahko slednji zaščiti svoje vire.

Kdo lahko trpi zaradi napadov DoS in DDoS?

Napadeni so korporativni strežniki podjetij in spletne strani, veliko manj pogosto - osebni računalniki posameznikov. Namen takih dejanj je praviloma en - povzročiti gospodarsko škodo napadeni osebi in ostati v senci. V nekaterih primerih so napadi DoS in DDoS ena od stopenj vdora v strežnik in so namenjeni kraji ali uničenju informacij. Pravzaprav lahko podjetje ali spletno mesto, ki pripada komur koli, postane žrtev napadalcev.

Diagram, ki prikazuje bistvo DDoS napada:

DoS in DDoS napadi se največkrat izvajajo na pobudo nepoštenih konkurentov. Torej, če "sesute" spletno mesto spletne trgovine, ki ponuja podoben izdelek, lahko začasno postanete "monopolist" in vzamete njegove stranke zase. Z "odstavitvijo" korporativnega strežnika lahko motite delo konkurenčnega podjetja in s tem zmanjšate njegov položaj na trgu.

Napade velikega obsega, ki lahko povzročijo znatno škodo, običajno izvajajo profesionalni kibernetski kriminalci za veliko denarja. Ampak ne vedno. Vaše vire lahko napadejo domači amaterski hekerji iz interesa, maščevalci med odpuščenimi zaposlenimi in preprosto tisti, ki ne delijo vaših pogledov na življenje.

Včasih se vpliv izvaja z namenom izsiljevanja, medtem ko napadalec odkrito zahteva denar od lastnika vira, da ustavi napad.

Strežnike državnih podjetij in znanih organizacij pogosto napadejo anonimne skupine visoko usposobljenih hekerjev, da bi vplivali na uradnike ali povzročili negodovanje javnosti.

Kako se izvajajo napadi

Načelo delovanja napadov DoS in DDoS je pošiljanje velikega toka informacij na strežnik, ki maksimalno (kolikor hekerjeve zmogljivosti to dopuščajo) obremeni računalniške vire procesorja, RAM-a, zamaši komunikacijske kanale ali zapolni prostor na disku. . Napadeni stroj ne more obdelati dohodnih podatkov in se preneha odzivati ​​na zahteve uporabnikov.

Tako izgleda normalno delovanje strežnika, vizualizirano v programu Logstalgia:

Učinkovitost posameznih DOS napadov ni zelo visoka. Poleg tega napad iz osebnega računalnika napadalca izpostavi tveganju, da bo identificiran in ujet. Veliko večji dobiček prinašajo porazdeljeni napadi (DDoS), ki se izvajajo iz tako imenovanih zombi omrežij ali botnetov.

Takole spletno mesto Norse-corp.com prikazuje dejavnost botneta:

Zombie omrežje (botnet) je skupina računalnikov, ki med seboj nimajo fizične povezave. Skupno jim je, da so vsi pod nadzorom napadalca. Nadzor se izvaja prek trojanskega programa, ki se zaenkrat morda ne manifestira na noben način. Pri izvedbi napada heker ukaže okuženim računalnikom, naj pošljejo zahteve na spletno stran ali strežnik žrtve. In on, ker ne zdrži pritiska, neha odgovarjati.

Tako Logstalgia prikazuje napad DDoS:

Popolnoma vsak računalnik se lahko pridruži botnetu. In celo pametni telefon. Dovolj je, da ujamete trojanca in niste pravočasno odkriti. Mimogrede, največji botnet je sestavljalo skoraj 2 milijona strojev po vsem svetu, njihovi lastniki pa niso vedeli, kaj počnejo.

Metode napada in obrambe

Preden izvede napad, heker ugotovi, kako ga izvesti z največjim učinkom. Če ima napadeno vozlišče več ranljivosti, se lahko vpliv izvede v različnih smereh, kar bo znatno otežilo protiukrep. Zato je pomembno, da vsak skrbnik strežnika preuči vsa njegova »ozka grla« in jih po možnosti okrepi.

Poplava

Preprosto povedano, poplava je informacija, ki nima nobenega pomena. V kontekstu DoS/DDoS napadov je poplava plaz praznih, nesmiselnih zahtev enega ali drugega nivoja, ki jih je sprejemno vozlišče prisiljeno obdelati.

Glavni namen uporabe poplavljanja je popolna zamašitev komunikacijskih kanalov in maksimalna nasičenost pasovne širine.

Vrste poplav:

  • MAC flood - vpliv na omrežne komunikatorje (blokiranje vrat s pretoki podatkov).
  • ICMP flooding - zasipavanje žrtve s servisnimi odmevnimi zahtevami z uporabo zombi omrežja ali pošiljanje zahtev "v imenu" napadenega vozlišča, tako da mu vsi člani botneta hkrati pošljejo odmevni odgovor (napad Smrkca). Poseben primer ICMP poplave je ping flood (pošiljanje ping zahtevkov strežniku).
  • Poplava SYN - pošiljanje številnih zahtev SYN žrtvi, prepolnjevanje čakalne vrste povezave TCP z ustvarjanjem velikega števila napol odprtih (čakajočih na potrditev odjemalca) povezav.
  • UDP flood - deluje po shemi napada Smrkca, kjer se namesto ICMP paketov pošiljajo UDP datagrami.
  • HTTP poplava - poplava strežnika s številnimi HTTP sporočili. Bolj sofisticirana možnost je HTTPS flooding, kjer so poslani podatki vnaprej šifrirani in preden jih napadeno vozlišče obdela, jih mora dešifrirati.


Kako se zaščititi pred poplavami

  • Konfigurirajte omrežna stikala za preverjanje veljavnosti in filtriranje naslovov MAC.
  • Omejite ali onemogočite obdelavo ICMP echo zahtev.
  • Blokirajte pakete, ki prihajajo z določenega naslova ali domene, ki daje razlog za sum, da je nezanesljiv.
  • Nastavite omejitev števila napol odprtih povezav z enim naslovom, zmanjšajte njihov čas zadrževanja in podaljšajte čakalno vrsto povezav TCP.
  • Onemogočite storitvam UDP prejemanje prometa od zunaj ali omejite število povezav UDP.
  • Uporabite CAPTCHA, zakasnitve in druge tehnike zaščite pred boti.
  • Povečajte največje število povezav HTTP, konfigurirajte predpomnjenje zahtev z uporabo nginx.
  • Razširite zmogljivost omrežnega kanala.
  • Če je mogoče, namenite ločen strežnik za upravljanje kriptografije (če se uporablja).
  • Ustvarite rezervni kanal za skrbniški dostop do strežnika v nujnih primerih.

Preobremenitev strojne opreme

Obstajajo vrste poplav, ki ne vplivajo na komunikacijski kanal, ampak na vire strojne opreme napadenega računalnika, jih obremenijo do zmogljivosti in povzročijo zamrznitev ali zrušitev. Na primer:

  • Ustvarjanje skripte, ki bo objavila ogromno količino nesmiselnih besedilnih informacij na forumu ali spletni strani, kjer imajo uporabniki možnost puščati komentarje, dokler ni zapolnjen ves prostor na disku.
  • Enako, le dnevniki strežnika bodo zapolnili pogon.
  • Nalaganje strani, kjer se izvaja nekakšna transformacija vnesenih podatkov, kontinuirana obdelava teh podatkov (pošiljanje t. i. “težkih” paketov).
  • Obremenitev procesorja ali pomnilnika z izvajanjem kode prek vmesnika CGI (podpora CGI omogoča zagon katerega koli zunanjega programa na strežniku).
  • Sprožitev varnostnega sistema, onemogočanje dostopa do strežnika od zunaj itd.


Kako se zaščititi pred preobremenitvijo virov strojne opreme

  • Povečajte zmogljivost strojne opreme in prostor na disku. Ko strežnik deluje normalno, mora biti vsaj 25-30% virov prostih.
  • Uporabite sisteme za analizo in filtriranje prometa, preden ga prenesete na strežnik.
  • Omejite uporabo strojnih virov po sistemskih komponentah (nastavite kvote).
  • Dnevniške datoteke strežnika shranite na ločen pogon.
  • Porazdelite vire na več strežnikov, neodvisnih drug od drugega. Tako, da če en del odpove, drugi ostanejo delujoči.

Ranljivosti v operacijskih sistemih, programski opremi, vdelani programski opremi naprave

Možnosti za izvedbo tovrstnega napada je neizmerno več kot uporaba poplave. Njihova izvedba je odvisna od usposobljenosti in izkušenj napadalca, njegove sposobnosti najti napake v programski kodi in jih uporabiti v svojo korist in v škodo lastnika vira.

Ko heker odkrije ranljivost (napako v programski opremi, ki jo lahko uporabi za motnje v delovanju sistema), mu preostane le, da ustvari in zažene exploit – program, ki izkorišča to ranljivost.

Izkoriščanje ranljivosti ni vedno namenjeno samo povzročitvi zavrnitve storitve. Če bo imel heker srečo, bo lahko pridobil nadzor nad virom in uporabil to "darilo usode" po lastni presoji. Uporabite ga na primer za distribucijo zlonamerne programske opreme, krajo in uničenje informacij itd.

Metode za boj proti izkoriščanju ranljivosti programske opreme

  • Pravočasno namestite posodobitve, ki pokrivajo ranljivosti operacijskih sistemov in aplikacij.
  • Izolirajte vse storitve, namenjene reševanju administrativnih nalog, od dostopa tretjih oseb.
  • Uporabljajte sredstva stalnega spremljanja delovanja strežniškega OS in programov (vedenjska analiza ipd.).
  • Zavrnite potencialno ranljive programe (brezplačne, samonapisane, redko posodobljene) v korist preverjenih in dobro zaščitenih.
  • Uporabite že pripravljena sredstva za zaščito sistemov pred napadi DoS in DDoS, ki obstajajo tako v obliki strojne kot programske opreme.

Kako ugotoviti, da je vir napadel heker

Če napadalec uspe doseči cilj, je nemogoče ne opaziti napada, vendar v nekaterih primerih administrator ne more natančno ugotoviti, kdaj se je začel. To pomeni, da od začetka napada do opaznih simptomov včasih mine več ur. Pri skritem vplivu (dokler strežnik ne pade) pa so prisotni tudi določeni znaki. Na primer:

  • Nenaravno vedenje strežniških aplikacij ali operacijskega sistema (zamrznitve, prekinitve z napakami itd.).
  • Obremenitev procesorja, RAM-a in pomnilnika se močno poveča v primerjavi s prvotno ravnjo.
  • Obseg prometa na enem ali več pristaniščih se močno poveča.
  • Obstaja več zahtev odjemalcev za iste vire (odpiranje iste spletne strani, prenos iste datoteke).
  • Analiza dnevnikov strežnika, požarnega zidu in omrežnih naprav kaže na veliko število monotonih zahtev z različnih naslovov, ki so pogosto usmerjeni na določena vrata ali storitev. Še posebej, če je spletno mesto namenjeno ozkemu občinstvu (na primer rusko govorečim) in zahteve prihajajo z vsega sveta. Kvalitativna analiza prometa pokaže, da zahteve za stranke nimajo praktičnega pomena.

Vse našteto ni 100-odstotni znak napada, je pa vedno razlog, da se na težavo posvetimo in ustrezno zaščitimo.

Uvod

Naj takoj opozorim, da sem bil pri pisanju te ocene osredotočen predvsem na občinstvo, ki je razumelo posebnosti dela telekomunikacijskih operaterjev in njihovih podatkovnih omrežij. Članek opisuje osnovna načela zaščite pred napadi DDoS, zgodovino njihovega razvoja v zadnjem desetletju in trenutno stanje.

Kaj je DDoS?

Verjetno danes, če že ne vsak »uporabnik«, pa vsaj vsak »informatik« ve, kaj so napadi DDoS. Toda nekaj besed je vseeno treba povedati.

Napadi DDoS (Distributed Denial of Service) so napadi na računalniške sisteme (omrežne vire ali komunikacijske kanale), katerih namen je narediti nedostopne legitimnim uporabnikom. Napadi DDoS vključujejo sočasno pošiljanje velikega števila zahtev določenemu viru iz enega ali več računalnikov v internetu. Če na tisoče, desettisoče ali milijone računalnikov hkrati začne pošiljati zahteve določenemu strežniku (ali omrežni storitvi), potem strežnik tega ne bo mogel obravnavati ali pa ne bo dovolj pasovne širine za komunikacijski kanal do tega strežnika. . V obeh primerih uporabniki interneta ne bodo mogli dostopati do napadenega strežnika ali celo do vseh strežnikov in drugih virov, povezanih prek blokiranega komunikacijskega kanala.

Nekatere značilnosti napadov DDoS

Proti komu in s kakšnim namenom se izvajajo DDoS napadi?

DDoS napade je mogoče sprožiti proti kateremu koli viru v internetu. Največjo škodo zaradi napadov DDoS utrpijo organizacije, katerih poslovanje je neposredno povezano z njihovo prisotnostjo na internetu – banke (ki ponujajo storitve internetnega bančništva), spletne trgovine, trgovalne platforme, dražbe, pa tudi druge vrste dejavnosti, aktivnost in učinkovitost ki je močno odvisen od predstavništva na internetu (potovalne agencije, letalske družbe, proizvajalci strojne in programske opreme itd.) DDoS napadi se redno izvajajo proti virom takih velikanov svetovne IT industrije, kot so IBM, Cisco Systems, Microsoft in drugi . Opazili so množične napade DDoS na eBay.com, Amazon.com in številne znane banke in organizacije.

Zelo pogosto se DDoS napadi izvajajo proti spletnim predstavništvom političnih organizacij, institucij ali posameznih znanih osebnosti. Veliko ljudi ve za množične in dolgotrajne napade DDoS, ki so bili izvedeni na spletno stran gruzijskega predsednika med gruzijsko-osetijsko vojno leta 2008 (spletna stran je bila nedostopna več mesecev od avgusta 2008), proti strežnikom estonske vlade. (spomladi 2007, med nemiri, povezanimi s prenosom Bronastega vojaka), o periodičnih napadih iz severnokorejskega segmenta interneta na ameriška spletna mesta.

Glavni cilji DDoS napadov so pridobivanje koristi (neposredne ali posredne) z izsiljevanjem in izsiljevanjem ali zasledovanje političnih interesov, zaostrovanje situacije ali maščevanje.

Kakšni so mehanizmi za sprožitev napadov DDoS?

Najbolj priljubljen in nevaren način za zagon DDoS napadov je uporaba botnetov (BotNets). Botnet je niz računalnikov, na katerih so nameščeni posebni programski zaznamki (boti), prevedeni iz angleščine, botnet je omrežje botov. Bote običajno razvijejo hekerji posebej za vsak botnet, njihov glavni cilj pa je pošiljanje zahtev do določenega vira na internetu po ukazu, prejetem s strežnika za nadzor botneta – Botnet Command and Control Server. Nadzorni strežnik botneta nadzoruje heker ali oseba, ki je kupila botnetno omrežje in možnost, da od hekerja izvede napad DDoS. Boti se po internetu širijo na različne načine, običajno tako, da napadejo računalnike z ranljivimi storitvami in nanje namestijo programske zaznamke ali pa zavedejo uporabnike in jih prisilijo v namestitev botov pod krinko zagotavljanja drugih storitev ali programske opreme, ki deluje popolnoma neškodljivo ali celo uporabna funkcija. Obstaja veliko načinov za širjenje botov in redno se izumljajo nove metode.

Če je botnet dovolj velik – na desetine ali sto tisoče računalnikov –, bo hkratno pošiljanje iz vseh teh računalnikov tudi povsem legitimnih zahtev določeni omrežni storitvi (na primer spletni storitvi na določenem mestu) povzročilo izčrpanost virov same storitve ali strežnika ali do izčrpanosti zmogljivosti komunikacijskega kanala. V vsakem primeru bo storitev uporabnikom nedostopna, lastnik storitve pa bo utrpel neposredno, posredno škodo in ugled. In če vsak računalnik ne pošlje samo ene zahteve, ampak desetine, stotine ali tisoče zahtevkov na sekundo, potem se učinek napada večkrat poveča, kar omogoča uničenje celo najbolj produktivnih virov ali komunikacijskih kanalov.

Nekateri napadi se izvajajo na bolj "neškodljive" načine. Na primer flash mob uporabnikov določenih forumov, ki po dogovoru sprožijo "pinge" ali druge zahteve s svojih računalnikov proti določenemu strežniku ob določenem času. Drug primer je postavitev povezave do spletnega mesta na priljubljenih internetnih virih, kar povzroči pritok uporabnikov na ciljni strežnik. Če se »lažna« povezava (navzven izgleda kot povezava do enega vira, v resnici pa vodi do popolnoma drugega strežnika) nanaša na spletno stran majhne organizacije, vendar je objavljena na priljubljenih strežnikih ali forumih, lahko tak napad povzroči pritok obiskovalcev, ki je nezaželen za to spletno mesto. Napadi zadnjih dveh vrst redko vodijo do prenehanja razpoložljivosti strežnika na pravilno organiziranih gostiteljskih mestih, vendar so bili taki primeri, tudi v Rusiji leta 2009.

Ali bodo tradicionalna tehnična sredstva zaščite pred napadi DDoS pomagala?

Posebnost DDoS napadov je, da so sestavljeni iz številnih hkratnih zahtev, od katerih je vsaka posebej popolnoma "legalna", poleg tega te zahteve pošiljajo računalniki (okuženi z boti), ki lahko pripadajo najpogostejšim pravim ali potencialnim uporabnikom; napadene storitve ali vira. Zato je s standardnimi orodji zelo težko pravilno prepoznati in filtrirati točno tiste zahteve, ki predstavljajo napad DDoS. Standardni sistemi razreda IDS/IPS (Intrusion Detection/Prevention System - sistem za zaznavanje/preprečevanje omrežnih napadov) v teh zahtevah ne bodo našli »corpus delicti«, ne bodo razumeli, da so del napada, razen če izvedejo kvalitativna analiza prometnih nepravilnosti. In tudi če ga najdejo, filtriranje nepotrebnih zahtev prav tako ni tako enostavno - standardni požarni zidovi in ​​usmerjevalniki filtrirajo promet na podlagi jasno definiranih seznamov dostopa (pravila nadzora) in se ne znajo »dinamično« prilagajati profilu specifični napad. Požarni zidovi lahko uravnavajo prometne tokove na podlagi meril, kot so izvorni naslovi, uporabljene omrežne storitve, vrata in protokoli. Toda običajni uporabniki interneta sodelujejo v napadu DDoS, pošiljajo zahteve po najpogostejših protokolih - ali ne bi telekomunikacijski operater prepovedal vsakogar in vse? Takrat bo svojim naročnikom preprosto prenehal zagotavljati komunikacijske storitve in prenehal zagotavljati dostop do omrežnih virov, ki jim služi, kar je pravzaprav tisto, kar želi doseči pobudnik napada.

Mnogi strokovnjaki verjetno poznajo obstoj posebnih rešitev za zaščito pred napadi DDoS, ki obsegajo odkrivanje anomalij v prometu, izgradnjo prometnega profila in profila napada ter kasnejši proces dinamičnega večstopenjskega filtriranja prometa. In o teh rešitvah bom govoril tudi v tem članku, vendar malo kasneje. Najprej bomo govorili o nekaterih manj znanih, a včasih precej učinkovitih ukrepih, ki jih je mogoče sprejeti za zatiranje napadov DDoS z obstoječimi sredstvi podatkovnega omrežja in njegovih skrbnikov.

Zaščita pred DDoS napadi z razpoložljivimi sredstvi

Obstaja kar nekaj mehanizmov in »trikov«, ki v nekaterih posebnih primerih omogočajo zatiranje DDoS napadov. Nekatere je mogoče uporabiti le, če je podatkovno omrežje zgrajeno na opremi določenega proizvajalca, druge so bolj ali manj univerzalne.

Začnimo s priporočili Cisco Systems. Strokovnjaki tega podjetja priporočajo zagotavljanje zaščite za temelj omrežja (Network Foundation Protection), ki vključuje zaščito nivoja upravljanja omrežja (Control Plane), nivoja upravljanja omrežja (Management Plane) in zaščite nivoja podatkov omrežja (Data Plane).

Zaščita ravnine upravljanja

Izraz "administrativna plast" zajema ves promet, ki upravlja ali nadzira usmerjevalnike in drugo omrežno opremo. Ta promet je usmerjen proti usmerjevalniku ali izvira iz usmerjevalnika. Primeri takšnega prometa so seje Telnet, SSH in http(s), sporočila sistemskega dnevnika, pasti SNMP. Splošne najboljše prakse vključujejo:

Zagotavljanje maksimalne varnosti protokolov upravljanja in nadzora z uporabo šifriranja in avtentikacije:

  • protokol SNMP v3 zagotavlja varnostne ukrepe, medtem ko SNMP v1 praktično ne zagotavlja, SNMP v2 pa le delno - privzete vrednosti Skupnosti je treba vedno spremeniti;
  • uporabiti je treba različne vrednosti za javno in zasebno skupnost;
  • protokol telnet prenaša vse podatke, vključno z uporabniškim imenom in geslom, v čistem besedilu (če je promet prestrežen, je te podatke mogoče zlahka izluščiti in uporabiti), priporočamo, da namesto tega vedno uporabite protokol ssh v2;
  • na podoben način uporabite https za dostop do opreme, vključno z ustrezno politiko gesel, centralizirano avtentikacijo, avtorizacijo in obračunavanje (model AAA) ter lokalno avtentikacijo za namene redundance;

Implementacija modela dostopa na podlagi vlog;

Nadzor dovoljenih povezav po izvornem naslovu z uporabo seznamov za nadzor dostopa;

Onemogočanje neuporabljenih storitev, od katerih so mnoge privzeto omogočene (ali so jih pozabili onemogočiti po diagnosticiranju ali konfiguraciji sistema);

Spremljanje porabe virov opreme.

Zadnji dve točki se je vredno podrobneje posvetiti.
Nekatere storitve, ki so privzeto vklopljene ali so pozabljene izklopljene po konfiguraciji ali diagnosticiranju opreme, lahko napadalci uporabijo za izogibanje obstoječim varnostnim pravilom. Seznam teh storitev je spodaj:

  • PAD (sestavljalnik/razstavljalnik paketov);

Seveda, preden onemogočite te storitve, morate natančno analizirati, ali so potrebne v vašem omrežju.

Priporočljivo je spremljati uporabo virov opreme. To bo omogočilo, prvič, pravočasno opaziti preobremenitev posameznih omrežnih elementov in sprejeti ukrepe za preprečevanje nesreče, in drugič, odkriti napade DDoS in anomalije, če njihovo odkrivanje ni predvideno s posebnimi sredstvi. Priporočljivo je spremljati vsaj:

  • obremenitev procesorja
  • uporaba pomnilnika
  • prezasedenost vmesnikov usmerjevalnika.

Nadzor je mogoče izvajati "ročno" (občasno spremljanje stanja opreme), vendar je seveda bolje, če to storite s posebnimi sistemi za nadzor omrežja ali varnosti informacij (slednji vključuje Cisco MARS).

Zaščita nadzorne ravnine

Sloj upravljanja omrežja vključuje ves storitveni promet, ki zagotavlja delovanje in povezljivost omrežja v skladu z navedeno topologijo in parametri. Primeri prometa nadzorne ravnine so: ves promet, ki ga ustvari ali je namenjen procesorju poti (RR), vključno z vsemi usmerjevalnimi protokoli, v nekaterih primerih protokoli SSH in SNMP ter ICMP. Vsak napad na delovanje usmerjevalnega procesorja, predvsem pa napadi DDoS, lahko povzročijo velike težave in motnje v delovanju omrežja. Spodaj so najboljše prakse za zaščito nadzorne ravnine.

Nadzor nadzornega letala

Sestoji iz uporabe mehanizmov QoS (Quality of Service) za dajanje višje prednosti nadzoru letalskega prometa kot uporabniškega prometa (katerega del so napadi). S tem bo zagotovljeno delovanje servisnih protokolov in usmerjevalnega procesorja, torej vzdrževanje topologije in povezljivosti omrežja ter dejansko usmerjanje in preklapljanje paketov.

ACL prejema IP

Ta funkcionalnost vam omogoča filtriranje in nadzor storitvenega prometa, namenjenega usmerjevalniku in usmerjevalnemu procesorju.

  • nanašajo se neposredno na usmerjevalno opremo, preden promet doseže usmerjevalni procesor, kar zagotavlja "osebno" zaščito opreme;
  • se uporabijo po prehodu prometa skozi običajne sezname za nadzor dostopa - so zadnji nivo zaščite na poti do usmerjevalnega procesorja;
  • veljajo za ves promet (tako notranji, zunanji kot tudi tranzitni glede na omrežje telekomunikacijskega operaterja).

Infrastrukturni ACL

Običajno je dostop do lastniških naslovov opreme za usmerjanje potreben samo za gostitelje v lastnem omrežju operaterja, vendar obstajajo izjeme (na primer eBGP, GRE, IPv6 prek tunelov IPv4 in ICMP). Infrastrukturni ACL-ji:

  • običajno nameščen na robu omrežja telekomunikacijskega operaterja (»na vhodu v omrežje«);
  • imajo cilj preprečiti zunanjim gostiteljem dostop do infrastrukturnih naslovov operaterja;
  • zagotoviti nemoten prehod prometa čez mejo omrežja operaterja;
  • zagotavljajo osnovne mehanizme zaščite pred nepooblaščeno omrežno dejavnostjo, opisano v RFC 1918, RFC 3330, zlasti zaščito pred spoofingom (spoofing, uporaba lažnih izvornih naslovov IP za prikrivanje ob začetku napada).

Preverjanje pristnosti soseda

Glavni namen preverjanja pristnosti soseda je preprečiti napade, ki vključujejo pošiljanje lažnih sporočil protokola usmerjanja, da bi spremenili usmerjanje v omrežju. Takšni napadi lahko vodijo do nepooblaščenega vdora v omrežje, nepooblaščene uporabe omrežnih virov in tudi do tega, da napadalec prestreže promet z namenom analize in pridobivanja potrebnih informacij.

Nastavitev BGP

  • Filtri predpone BGP - uporabljajo se za zagotovitev, da se informacije o poteh notranjega omrežja telekomunikacijskega operaterja ne razširijo na internet (včasih so te informacije lahko zelo koristne za napadalca);
  • omejevanje števila predpon, ki jih je mogoče prejeti od drugega usmerjevalnika (omejitev predpon) – uporablja se za zaščito pred napadi DDoS, anomalijami in napakami v enakovrednih partnerskih omrežjih;
  • uporabo parametrov skupnosti BGP in njihovo filtriranje je mogoče uporabiti tudi za omejitev distribucije informacij o usmerjanju;
  • Spremljanje BGP in primerjava podatkov BGP z opazovanim prometom je eden od mehanizmov za zgodnje odkrivanje DDoS napadov in anomalij;
  • filtriranje po parametru TTL (Time-to-Live) - uporablja se za preverjanje partnerjev BGP.

Če se napad BGP ne izvede iz omrežja enakovrednega partnerja, ampak iz bolj oddaljenega omrežja, bo parameter TTL za pakete BGP manjši od 255. Mejne usmerjevalnike operaterja lahko konfigurirate tako, da izpustijo vse pakete BGP s TTL vrednost< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Zaščita podatkovne ravnine v omrežju (Data Plane)

Kljub pomembnosti zaščite administrativne in vodstvene ravni je večina prometa v omrežju telekomunikacijskega operaterja podatkovnega, tranzitnega ali namenjenega naročnikom tega operaterja.

Unicast posredovanje povratne poti (uRPF)

Napadi se pogosto izvajajo s tehnologijo lažnega predstavljanja – izvorni naslovi IP so ponarejeni, tako da ni mogoče izslediti vira napada. Lažni naslovi IP so lahko:

  • iz dejansko uporabljenega naslovnega prostora, vendar v drugem omrežnem segmentu (v segmentu, iz katerega je bil napad izveden, se ti lažni naslovi ne usmerjajo);
  • iz naslovnega prostora, ki se ne uporablja v danem omrežju za prenos podatkov;
  • iz naslovnega prostora, ki ga ni mogoče usmerjati v internetu.

Implementacija mehanizma uRPF na usmerjevalnikih bo preprečila usmerjanje paketov z izvornimi naslovi, ki so nezdružljivi ali neuporabljeni v segmentu omrežja, iz katerega so prispeli na vmesnik usmerjevalnika. Ta tehnologija včasih omogoča precej učinkovito filtriranje neželenega prometa, ki je najbližje izvoru, torej najbolj učinkovito. Številni napadi DDoS (vključno s slavnima Smurf in Tribal Flood Network) uporabljajo mehanizem ponarejanja in nenehnega spreminjanja izvornih naslovov, da bi prevarali standardne varnostne ukrepe in ukrepe filtriranja prometa.

Telekomunikacijski operaterji, ki naročnikom zagotavljajo dostop do interneta, bodo z uporabo mehanizma uRPF učinkovito preprečili napade DDoS z uporabo tehnologije lažnega predstavljanja, ki jo njihovi naročniki usmerijo proti internetnim virom. Tako je napad DDoS zatrt najbližje izvoru, torej najbolj učinkovito.

Daljinsko sprožene črne luknje (RTBH)

Nadzorovane črne luknje (na daljavo sprožene črne luknje) se uporabljajo za "izmet" (uničenje, pošiljanje "nikamor") prometa, ki vstopa v omrežje, tako da se ta promet usmeri na posebne vmesnike Null 0. To tehnologijo je priporočljivo uporabljati na robu omrežja za izmet Napadalni promet, ki vsebuje DDoS, ko vstopi v omrežje. Omejitev (in pomembna) te metode je, da velja za ves promet, namenjen določenemu gostitelju ali gostiteljem, ki so tarča napada. Tako se ta metoda lahko uporabi v primerih, ko je eden ali več gostiteljev izpostavljenih množičnemu napadu, ki povzroča težave ne le napadenim gostiteljem, temveč tudi drugim naročnikom in omrežju telekomunikacijskega operaterja kot celoti.

Črne luknje je mogoče upravljati ročno ali prek protokola BGP.

Razširjanje pravilnika QoS prek BGP (QPPB)

Nadzor QoS prek BGP (QPPB) vam omogoča upravljanje prednostnih politik za promet, namenjen določenemu avtonomnemu sistemu ali bloku naslovov IP. Ta mehanizem je lahko zelo uporaben za telekomunikacijske operaterje in velika podjetja, vključno z upravljanjem ravni prioritete za neželeni promet ali promet, ki vsebuje napad DDoS.

Luknje za korita

V nekaterih primerih ni treba popolnoma odstraniti prometa s črnimi luknjami, temveč ga preusmeriti stran od glavnih kanalov ali virov za naknadno spremljanje in analizo. To je točno tisto, za kar so zasnovani "odvodni kanali" ali ponorni luknji.

Pomivalne luknje se najpogosteje uporabljajo v naslednjih primerih:

  • preusmeriti in analizirati promet s ciljnimi naslovi, ki spadajo v naslovni prostor omrežja telekomunikacijskega operaterja, vendar se dejansko ne uporabljajo (niso bili dodeljeni ne opremi ne uporabnikom); tak promet je a priori sumljiv, saj pogosto kaže na poskuse skeniranja ali prodora v vaše omrežje s strani napadalca, ki nima podrobnih informacij o njegovi strukturi;
  • preusmeriti promet s cilja napada, ki je vir, ki dejansko deluje v omrežju telekomunikacijskega operaterja, za njegovo spremljanje in analizo.

DDoS zaščita s posebnimi orodji

Koncept Cisco Clean Pipes je pionir v industriji

Sodoben koncept zaščite pred napadi DDoS je razvil (ja, ja, ne boste presenečeni! :)) Cisco Systems. Koncept, ki ga je razvil Cisco, se imenuje Cisco Clean Pipes. Koncept, ki je bil podrobno razvit pred skoraj 10 leti, je dokaj podrobno opisal osnovne principe in tehnologije zaščite pred prometnimi anomalijami, ki jih večina uporablja še danes, tudi pri drugih proizvajalcih.

Koncept Cisco Clean Pipes vključuje naslednja načela za odkrivanje in blaženje napadov DDoS.

Izberejo se točke (omrežni odseki), v katerih se analizira promet za ugotavljanje nepravilnosti. Odvisno od tega, kaj varujemo, so lahko takšne točke peering povezave telekomunikacijskega operaterja z višjimi operaterji, povezovalne točke nižjih operaterjev ali naročnikov, kanali, ki povezujejo centre za obdelavo podatkov z omrežjem.

Posebni detektorji analizirajo promet na teh točkah, gradijo (preučujejo) prometni profil v normalnem stanju in ga ob pojavu DDoS napada ali anomalije zaznajo, preučujejo in dinamično oblikujejo njegove značilnosti. Nato informacije analizira sistemski operater in postopek zatiranja napada se sproži v polavtomatskem ali avtomatskem načinu. Zatiranje je, kjer se promet, namenjen »žrtvi«, dinamično preusmeri prek filtrirne naprave, kjer se filtri, ki jih ustvari detektor, uporabijo za ta promet in odražajo individualno naravo tega napada. Očiščen promet se vnese v omrežje in pošlje prejemniku (zato se je pojavilo ime Clean Pipes - naročnik prejme "čist kanal", ki ne vsebuje napada).

Tako celoten cikel zaščite pred napadi DDoS vključuje naslednje glavne faze:

  • Usposabljanje za nadzorne značilnosti prometa (profiliranje, osnovno učenje)
  • Odkrivanje napadov in anomalij (Detection)
  • Preusmerjanje prometa skozi čistilno napravo (Preusmeritev)
  • Filtriranje prometa za zatiranje napadov (blažitev)
  • Vbrizgavanje prometa nazaj v omrežje in pošiljanje prejemniku (vbrizgavanje).

Več funkcij.
Kot detektorji se lahko uporabljajo dve vrsti naprav:

  • Detektorji, ki jih proizvaja Cisco Systems, so Cisco Traffic Anomaly Detector Services Module, zasnovani za vgradnjo v ohišje Cisco 6500/7600.
  • Detektorji proizvajalca Arbor Networks so naprave Arbor Peakflow SP CP.

Spodaj je tabela s primerjavo detektorjev Cisco in Arbor.

Parameter

Detektor prometnih nepravilnosti Cisco

Arbor Peakflow SP CP

Pridobivanje prometnih informacij za analizo

Uporablja kopijo prometa, dodeljenega ohišju Cisco 6500/7600

Uporabljeni so podatki o prometu Netflow, prejeti iz usmerjevalnikov; vzorčenje je mogoče prilagoditi (1:1, 1:1000, 1:10.000 itd.)

Uporabljena načela identifikacije

Analiza podpisa (odkrivanje napačne uporabe) in odkrivanje nepravilnosti (dinamičnoprofiliranje)

Predvsem odkrivanje nepravilnosti; uporablja se analiza podpisov, vendar so podpisi splošne narave

Faktor oblike

servisni moduli v ohišju Cisco 6500/7600

ločene naprave (strežniki)

Izvedba

Analiziran je promet do 2 Gbit/s

Praktično neomejeno (frekvenca vzorčenja se lahko zmanjša)

Razširljivost

Namestitev do 4 modulovCiscoDetektorS.M.v eno ohišje (vendar moduli delujejo neodvisno drug od drugega)

Možnost uporabe več naprav znotraj enega analiznega sistema, od katerih ima ena status Leader

Nadzor omrežnega prometa in usmerjanja

Funkcionalnosti praktično ni

Funkcionalnost je zelo razvita. Mnogi telekomunikacijski operaterji kupijo Arbor Peakflow SP zaradi njegove globoke in prefinjene funkcionalnosti za spremljanje prometa in usmerjanje v omrežju.

Zagotavljanje portala (individualni vmesnik za naročnika, ki omogoča spremljanje le tistega dela omrežja, ki je neposredno povezan z njim)

Ni zagotovljeno

Zagotovljeno. To je resna prednost te rešitve, saj lahko telekomunikacijski operater svojim naročnikom prodaja posamezne storitve DDoS zaščite.

Združljive naprave za čiščenje prometa (zatiranje napadov)

Cisco Modul stražarskih storitev

 Arbor Peakflow SP TMS; Cisco Guard Services Module.
Zaščita podatkovnih centrov, ko so povezani z internetom Spremljanje downstream povezav naročniških omrežij z omrežjem telekomunikacijskega operaterja Odkrivanje napadov nagorvodno- povezave omrežja telekomunikacijskega operaterja z omrežji višjih ponudnikov Nadzor hrbtenice telekomunikacijskega operaterja
V zadnji vrstici tabele so prikazani scenariji uporabe detektorjev Cisco in Arbor, ki ju priporoča Cisco Systems. Ti scenariji so prikazani v spodnjem diagramu.

Kot napravo za čiščenje prometa Cisco priporoča uporabo servisnega modula Cisco Guard, ki je nameščen v ohišje Cisco 6500/7600 in se na ukaz, prejet iz Cisco Detector ali Arbor Peakflow SP CP, promet dinamično preusmeri, očisti in ponovno vnese v omrežje. Mehanizmi za preusmeritev so posodobitve BGP za usmerjevalnike navzgor ali neposredni nadzorni ukazi nadzorniku z uporabo lastniškega protokola. Pri uporabi posodobitev BGP usmerjevalnik navzgor prejme novo vrednost nex-hop za promet, ki vsebuje napad, tako da gre ta promet na strežnik za čiščenje. Hkrati je treba paziti, da te informacije ne vodijo v organizacijo zanke (da nižji usmerjevalnik, ko vanj vnese odobreni promet, tega prometa ne poskuša zaviti nazaj v čistilno napravo) . Če želite to narediti, je mogoče uporabiti mehanizme za nadzor distribucije posodobitev BGP z uporabo parametra skupnosti ali uporabo tunelov GRE pri vnosu odobrenega prometa.

Takšno stanje je obstajalo, dokler Arbor Networks ni občutno razširil linije izdelkov Peakflow SP in začel vstopati na trg s popolnoma samostojno rešitvijo za zaščito pred DDoS napadi.

Predstavljen Arbor Peakflow SP TMS

Podjetje Arbor Networks se je pred nekaj leti odločilo, da bo svojo linijo izdelkov za zaščito pred DDoS napadi razvijalo samostojno in ne glede na tempo in politiko razvoja tega področja v Ciscu. Rešitve Peakflow SP CP so imele temeljne prednosti pred Cisco Detectorjem, saj so analizirale informacije o pretoku z možnostjo regulacije frekvence vzorčenja in zato niso imele omejitev pri uporabi v omrežjih telekomunikacijskih operaterjev in na trank kanalih (za razliko od Cisco Detectorja, ki analizira kopijo promet). Poleg tega je bila velika prednost Peakflow SP možnost, da operaterji naročnikom prodajo individualno storitev za spremljanje in zaščito svojih omrežnih segmentov.

Zaradi teh in drugih razlogov je Arbor znatno razširil svojo linijo izdelkov Peakflow SP. Pojavile so se številne nove naprave:

Peakflow SP TMS (sistem za upravljanje groženj)- zavira DDoS napade z večstopenjskim filtriranjem na podlagi podatkov, pridobljenih iz Peakflow SP CP in iz laboratorija ASERT v lasti Arbor Networks, ki spremlja in analizira DDoS napade na internetu;

Peakflow SP BI (poslovna inteligenca)- naprave, ki omogočajo skaliranje sistema, povečanje števila logičnih objektov, ki jih je treba spremljati, in zagotavljanje redundance za zbrane in analizirane podatke;

Peakflow SP PI (portalni vmesnik)- naprave, ki zagotavljajo povečanje števila naročnikov, ki jim je zagotovljen individualni vmesnik za upravljanje lastne varnosti;

Peakflow SP FS (Cenzor pretoka)- naprave, ki omogočajo spremljanje naročniških usmerjevalnikov, povezav z nadaljnjimi omrežji in podatkovnimi centri.

Načela delovanja sistema Arbor Peakflow SP ostajajo v bistvu enaka kot Cisco Clean Pipes, kljub temu pa Arbor redno razvija in izboljšuje svoje sisteme, tako da je trenutno funkcionalnost izdelkov Arbor v mnogih pogledih boljša od Ciscovih, vključno s produktivnostjo. .

Danes je največjo zmogljivost Cisco Guard mogoče doseči z ustvarjanjem gruče 4 modulov Guard v enem ohišju Cisco 6500/7600, medtem ko popolno združevanje teh naprav v gruče ni implementirano. Hkrati imajo vrhunski modeli Arbor Peakflow SP TMS zmogljivost do 10 Gbps in jih je mogoče združiti v gruče.

Potem ko se je Arbor začel pozicionirati kot neodvisen igralec na trgu odkrivanja in zatiranja napadov DDoS, je Cisco začel iskati partnerja, ki bi mu zagotavljal prepotrebno spremljanje podatkov o pretoku omrežnega prometa, a ne bi bil neposreden tekmovalec. Takšno podjetje je bilo Narus, ki proizvaja sisteme za nadzor prometa na podlagi podatkov o pretoku (NarusInsight) in je sklenilo partnerstvo s Cisco Systems. Vendar to partnerstvo ni dobilo resnega razvoja in prisotnosti na trgu. Poleg tega po nekaterih poročilih Cisco ne namerava vlagati v svoje rešitve Cisco Detector in Cisco Guard, temveč bo to nišo prepustil podjetju Arbor Networks.

Nekatere funkcije rešitev Cisco in Arbor

Omeniti velja nekatere značilnosti rešitev Cisco in Arbor.

  1. Cisco Guard se lahko uporablja v povezavi z detektorjem ali samostojno. V slednjem primeru je nameščen v linijskem načinu in opravlja funkcije detektorja, analizira promet in po potrebi vklopi filtre in očisti promet. Pomanjkljivost tega načina je, da je, prvič, dodana dodatna točka potencialne okvare, in drugič, dodatna prometna zamuda (čeprav je majhna, dokler se ne vklopi filtrirni mehanizem). Priporočen način za Cisco Guard je, da počaka na ukaz za preusmeritev prometa, ki vsebuje napad, ga filtrira in vnese nazaj v omrežje.
  2. Naprave Arbor Peakflow SP TMS lahko delujejo tudi v načinu off-ramp ali in-line. V prvem primeru naprava pasivno čaka na ukaz za preusmeritev prometa, ki vsebuje napad, da ga očisti in vnese nazaj v omrežje. V drugem pa prepusti ves promet skozi sebe, na podlagi tega ustvari podatke v formatu Arborflow in jih prenese v Peakflow SP CP za analizo in zaznavanje napadov. Arborflow je format, podoben Netflowu, vendar ga je Arbor spremenil za svoje sisteme Peakflow SP. Spremljanje prometa in zaznavanje napadov izvaja Peakflow SP CP na podlagi podatkov Arborflow, prejetih od TMS. Ko je napad zaznan, operater Peakflow SP CP izda ukaz za njegovo zatiranje, nakar TMS vklopi filtre in očisti promet pred napadom. Za razliko od Cisca strežnik Peakflow SP TMS ne more delovati neodvisno; njegovo delovanje zahteva strežnik Peakflow SP CP, ki analizira promet.
  3. Danes se večina strokovnjakov strinja, da so naloge zaščite lokalnih delov omrežja (na primer povezovanje podatkovnih centrov ali povezovanje omrežij navzdol) učinkovite.

Očitno je večina sodobnih uporabnikov računalniških sistemov že slišala za koncept DDoS napada. Kako to storiti sami, seveda ne bomo obravnavali zdaj (razen v informativne namene), saj so takšna dejanja nezakonita v skladu s katero koli zakonodajo. Se bo pa dalo izvedeti, kaj to sploh je in kako vse skupaj deluje. Vendar naj takoj opozorimo: spodaj predstavljenega gradiva ne smete dojemati kot nekakšno navodilo ali vodnik za ukrepanje. Podatki so podani izključno zaradi splošnega razumevanja problematike in zgolj zaradi teoretičnega znanja. Uporaba določenih programskih izdelkov ali organiziranje nezakonitih dejanj lahko povzroči kazensko odgovornost.

Kaj je DDoS napad na strežnik?

Sam koncept napada DDoS je mogoče razlagati na podlagi dekodiranja angleške kratice. Okrajšava pomeni Distributed Denial of Service, to je, grobo rečeno, zavrnitev storitve ali zmogljivosti.

Če razumete, kaj je napad DDoS na strežnik, gre v splošnem za obremenitev vira s povečanim številom uporabniških zahtev (zahtev) po določenem komunikacijskem kanalu, ki ima seveda omejitve glede količine prometa, ko strežnik preprosto ne zmore. Zaradi tega pride do preobremenitve. Pravzaprav programska in strojna oprema strežnika preprosto nimata dovolj računalniških virov, da bi se spopadla z vsemi zahtevami.

Načela organiziranja napadov

Napad DDoS v osnovi temelji na več osnovnih pogojih. Najpomembneje je, da na prvi stopnji pridobimo dostop do nekega uporabniškega računalnika ali celo strežnika tako, da vanj vnesemo zlonamerno kodo v obliki programov, ki jih danes običajno imenujemo trojanci.

Kako na tej stopnji sami organizirati napad DDoS? Čisto preprosto. Za okužbo računalnikov je mogoče uporabiti tako imenovane snifferje. Dovolj je, da žrtvi pošljete e-poštno sporočilo s priponko (na primer sliko, ki vsebuje izvedljivo kodo), ko se odpre, napadalec prek njegovega naslova IP pridobi dostop do računalnika nekoga drugega.

Zdaj pa nekaj besed o tem, kaj vključuje druga stopnja, ki vključuje napad DDoS. Kako podati naslednjo zahtevo? Na strežnik ali internetni vir je potrebno poslati največje število zahtev. Seveda tega ni mogoče storiti z enega terminala, zato boste morali uporabiti dodatne računalnike. Zaključek se nakazuje sam: potrebno je, da jih vneseni virus okuži. Takšni skripti, katerih že pripravljene različice lahko najdemo tudi na internetu, se praviloma samokopirajo in okužijo druge terminale v omrežnem okolju, če obstaja aktivna povezava ali prek interneta.

Vrste DDoS napadov

DDoS napad v splošnem pomenu imenujemo le pogojno. Pravzaprav obstajajo vsaj štiri njegove različice (čeprav je danes kar 12 modifikacij):

  • zrušitev strežnika s pošiljanjem napačnih navodil za izvedbo;
  • množično pošiljanje uporabniških podatkov, kar vodi v ciklično preverjanje;
  • poplava - nepravilno oblikovane zahteve;
  • motnje komunikacijskega kanala zaradi prenapolnjenosti z lažnimi naslovi.

Zgodovina videza

O tovrstnih napadih so prvič začeli govoriti že leta 1996, a takrat temu nihče ni pripisoval velikega pomena. Problem so začeli resneje obsojati šele leta 1999, ko so bili napadeni največji svetovni strežniki, kot so Amazon, Yahoo, E-Trade, eBay, CNN in drugi.

Posledice so bile velike izgube zaradi izpada teh storitev, čeprav je šlo takrat le za delne primere. O široki grožnji še ni bilo govora.

Najbolj znan primer DDoS napada

Vendar, kot se je kasneje izkazalo, zadeva ni bila omejena na to. Največji DDoS napad v vsej zgodovini računalniškega sveta je bil zabeležen leta 2013, ko je prišlo do spora med Spamhausom in nizozemskim ponudnikom Cyberbunker.

Prva organizacija je ponudnika brez pojasnila uvrstila na seznam pošiljateljev neželene pošte, kljub temu, da so njegove strežnike uporabljale številne ugledne (in manj) organizacije in storitve. Poleg tega so bili strežniki ponudnika, ne glede na to, kako čudno, v nekdanjem Natovem bunkerju.

Kot odgovor na takšna dejanja je Cyberbunker sprožil napad, ki ga je prevzel CDN CloudFlare. Prvi udarec je bil 18. marca, naslednji dan je hitrost zahtev narasla na 90 Gbit/s, 21. je bilo zatišje, 22. marca pa je bila hitrost že 120 Gbit/s. CloudFlare ni bilo mogoče onemogočiti, zato je bila hitrost povečana na 300 Gbit/s. Do danes je to rekordna številka.

Kaj so napadalni programi DDoS?

Glede na trenutno uporabljeno programsko opremo velja za najpogosteje uporabljen program LOIC, ki pa omogoča napade le na strežnike z že znanimi IP in URL naslovi. Najbolj žalostno je, da je objavljeno na internetu za brezplačen prenos.

Toda, kot je že jasno, je to aplikacijo mogoče uporabljati samo v povezavi s programsko opremo, ki vam omogoča dostop do računalnika nekoga drugega. Iz očitnih razlogov tukaj niso navedena imena in popolna navodila za njihovo uporabo.

Kako narediti napad sam?

Torej, potrebujemo napad DDoS. Na kratko poglejmo, kako ga narediti sami. Predvideva se, da je sniffer deloval in imate dostop do terminala nekoga drugega. Ko zaženete izvedljivo datoteko programa Loic.exe, preprosto vnesite zahtevane naslove v okno in pritisnite gumb Lock On.

Po tem se pri prilagajanju hitrosti prenosa prek protokolov HTTP/UDF/TCP fader nastavi na največjo vrednost (10 pri privzetem minimumu), po kateri se za začetek napada uporabi gumb IMMA CHARGIN MAH LAZER.

Kako se zaščititi pred napadi?

Ko govorimo o programih, ki jih lahko najdete za napade DDoS, ne morete prezreti zaščitnih orodij. Navsezadnje tudi tretji Newtonov zakon pravi, da vsako dejanje povzroči reakcijo.

V najpreprostejšem primeru se uporabljajo protivirusni programi in požarni zidovi (ti požarni zidovi), ki so lahko predstavljeni bodisi v programski obliki bodisi kot računalniška strojna oprema. Poleg tega lahko številni ponudniki varnosti prerazporedijo zahteve med več strežniki, filtrirajo dohodni promet, namestijo podvojene zaščitne sisteme itd.

Eden od načinov izvajanja napadov je tehnika DNS Amplification - tehnologija pošiljanja rekurzivnih zahtev DNS strežnikom z neobstoječimi povratnimi naslovi. V skladu s tem lahko kot zaščito pred takšnimi nesrečami varno uporabite univerzalni paket fail2ban, ki vam danes omogoča namestitev precej močne ovire za tovrstne pošte.

Kaj še morate vedeti?

Na splošno lahko celo otrok dobi dostop do vašega računalnika, če želi. V tem primeru ni potrebna niti kakšna posebej zapletena specializirana programska oprema, nato pa se lahko napad DDoS izvede iz vašega "zombi" računalnika. Kako to narediti sami, je na splošno že jasno.

Ampak mislim, da ni vredno početi takih stvari. Res je, da nekateri novi uporabniki in programerji poskušajo izvesti takšna dejanja, tako rekoč, iz čisto športnega interesa. Ne pozabite: vsak usposobljen skrbnik bo ugotovil, če ne vi, lokacijo ponudnika, tudi če je bil na neki stopnji v internetu uporabljen anonimni proxy strežnik. Ni vam treba iti daleč. Isti vir WhoIs lahko zagotovi veliko informacij, za katere sploh ne veste. No, potem je, kot pravijo, stvar tehnike.

Vse kar morate storiti je, da se obrnete na svojega ponudnika z ustrezno zahtevo z navedbo zunanjega IP-ja in ta vam bo (v skladu z mednarodnimi standardi) posredoval podatke o vaši lokaciji in osebne podatke. Zato zgoraj predstavljenega gradiva ne bi smeli obravnavati kot spodbujanje k nezakonitim dejanjem. To je preobremenjeno s precej resnimi posledicami.

Kar pa se tiče samih napadov, je vredno posebej povedati, da bi morali sami sprejeti nekaj ukrepov za zaščito sistema, saj so zlonamerne kode lahko celo v internetnih pasicah, ko jih kliknete, se lahko trojanec prenese v vaš računalnik. In vsi protivirusni programi ne morejo filtrirati takšnih groženj. In o tem, da se računalnik lahko spremeni v nekakšno zombi škatlo, se sploh ne razpravlja. Uporabnik tega morda niti ne opazi (razen če je odhodni promet povečan). Namestitev in konfiguracija paketa fail2ban je precej zapletena, zato morate uporabiti resen protivirusni program (Eset, Kaspersky) kot najbolj primitivno sredstvo in ne izdelkov brezplačne programske opreme, prav tako pa ne onemogočite lastnih zaščitnih ukrepov sistema Windows, kot je požarni zid.