Недоступность службы в информатике называется отказом в обслуживании (DoS). Такие блокировки сервисов обычно являются побочными эффектами перегрузки отдельных компонентов ИТ-инфраструктуры. Если это состояние намеренно вызвано внешними субъектами, говорят о DoS-атаке. Злоумышленник специально направляет целевой системе больше запросов, чем она может обработать.
Сетевые устройства, операционные системы или отдельные серверные службы могут использоваться таким образом, что они не могут вообще или только с задержкой реагировать на регулярные запросы. Такая процедура особенно эффективна, когда система сталкивается с запросами с разных компьютеров. В отличие от DoS-атак, такие DDoS-атаки основываются на обширных ботнетах.
DDoS / DoS-атаки в большом масштабе
Распространенная форма DoS называется «распределенный отказ в обслуживании» (DDoS). В этом варианте киберпреступники действуют не с одного атакующего компьютера, а загружают целевые системы запросами с нескольких компьютеров, которые можно объединить в гигантские ботнеты.
Такая сеть компьютеров может генерировать значительно больше трафика данных, чем при простых DoS-атаках, которые выполняются только из одной системы. Таким образом, DDoS-атаки оказывают серьезное воздействие на пострадавших, у которых, как правило, мало шансов обнаружить фактический источник атаки. Потому что злоумышленники, которые настраивают ботнеты этого типа, используют специальные программные агенты, которые размещены на недостаточно защищенных компьютерах в интернете и централизованно контролируются без ведома оператора. Такое «заражение» часто происходит за несколько месяцев до фактической DDoS-атаки.
Как выглядит DDoS-атака?
Каждая DDoS-атака основана на более крупной компьютерной сети. Теоретически эта сеть может фактически принадлежать злоумышленнику – однако на практике это почти все без исключения сети ботов, которые часто состоят из сотен тысяч компьютеров. Соответствующие компьютеры заражены вредоносным ПО, которое позволяет киберпреступникам получать к ним удаленный доступ, не будучи замеченными. Здесь задействованы устройства, такие как маршрутизаторы, камеры видеонаблюдения и т.д.
Имея за спиной правильную компьютерную сеть, злоумышленнику часто легко реализовать запланированный DDoS. Потому что для выполнения своей цели – остановки целевой службы – ему теперь нужна только соответствующая точка атаки в системе или сети жертвы. Как только он обнаружит такой бэкдор, он может отправить необходимые команды своей армии ботов, чтобы начать волну DDoS-атак в желаемое время.
Какие типы DoS- и DDoS-атак существуют?
В отличие от других атак киберпреступников, DoS- и DDoS-атаки не направлены на проникновение в систему. Однако они могут быть частью такой хакерской атаки. Например, когда система парализована, чтобы отвлечь внимание от атаки на другую систему. Если реакция сервера задерживается из-за DDoS- или DDoS-атак, у хакеров также есть возможность манипулировать запросами к перегруженной системе с помощью фальсифицированных ответов. В стратегии, лежащие в основе таких атак можно разделить на три категории:
- перегрузка полосы пропускания
- перегрузка системных ресурсов
- использование программных ошибок и лазеек в безопасности.
Перегрузка полосы пропускания
Цель перегрузки полосы пропускания – сделать компьютер недоступным. В этом случае DoS- и DDoS-атаки нацелены непосредственно на сеть и соответствующие подключаемые устройства.
Например, маршрутизатор может одновременно обрабатывать только определенный объем данных. Если эта емкость полностью использована атакой, соответствующие службы больше не будут доступны другим пользователям. Классическая DDoS-атака с целью перегрузки широкополосного доступа – это атака Smurf.
Smurf-атака – эта DDoS-атака использует протокол управляющих сообщений интернета (ICMP), который используется для обмена информацией и сообщениями об ошибках в компьютерных сетях. Злоумышленник отправляет поддельные ICMP-пакеты типа «эхо-запрос» (ping) на широковещательный адрес компьютерной сети и использует IP-адрес цели атаки в качестве адреса отправителя.
Сетевой маршрутизатор пересылает широковещательный запрос всем подключенным устройствам, заставляя каждое из них отправлять ответ на адрес отправителя (pong). Большая сеть с большим количеством подключенных устройств может значительно снизить пропускную способность объекта атаки.
Перегрузка системных ресурсов
Если DoS- или DDoS-атака нацелена на ресурсы системы, злоумышленники используют тот факт, что веб-серверы могут устанавливать только ограниченное количество подключений.
Если они заполнены бессмысленными или недействительными запросами, серверные службы для обычных пользователей могут быть эффективно заблокированы. Классическими шаблонами DDoS-атак на системные ресурсы являются HTTP-флуд, ping-флуд, SYN-флуд и UDP-флуд.
HTTP-флуд. В этом простейшем варианте DDoS-атаки для перегрузки ресурсов злоумышленник наводняет целевой веб-сервер большим количеством HTTP-запросов. Для этого ему достаточно вызвать любые страницы целевого проекта, пока сервер не рухнет под нагрузкой запросов.
Ping flood. Киберпреступники также используют ICMP-пакеты типа «Echo Request» для этого шаблона атаки. Обычно они массово рассылаются ботнетами для атаки целей. Поскольку на каждый из этих запросов (ping) целевая система должна отвечать пакетом данных (pong), медленные системы могут сильно замедляться из-за ping-флуда.
SYN-флуд. Этот шаблон атаки представляет собой злоупотребление трехсторонним квитированием TCP. TCP (Протокол управления передачей) – это сетевой протокол, который вместе с IP обеспечивает передачу данных через интернет без потерь. Установление TCP-соединения всегда происходит при трехэтапной аутентификации. Для этого клиент отправляет на сервер пакет синхронизации (SYN).
Он принимается сервером и также отвечает пакетом синхронизации (SYN) и подтверждением (ACK). Установление соединения завершается подтверждением на стороне клиента (ACK). Если этого не происходит, системы могут быть эффективно парализованы, поскольку сервер не хранит в памяти окончательно подтвержденные соединения. Если большое количество этих так называемых полуоткрытых соединений объединяется в результате лавинной рассылки SYN, доступные ресурсы сервера при определенных обстоятельствах могут быть полностью заняты.
UDP-флуд. В этой атаке киберпреступники полагаются на протокол пользовательских дейтаграмм (UDP) без установления соединения. В отличие от передачи через TCP, данные также могут передаваться через UDP без установления соединения. Поэтому в контексте DoS- и DDoS-атак пакеты UDP в большом количестве отправляются на случайно выбранные порты целевой системы.
Система безуспешно пытается определить, какое приложение ожидает переданных данных, а затем отправляет пакет ICMP обратно отправителю с сообщением «адрес назначения недоступен». Если система загружена многочисленными запросами этого типа, использование ресурсов может привести к серьезному ограничению доступности для обычных пользователей.
Использование программных ошибок и лазеек в безопасности
Если злоумышленник знает об определенных пробелах в безопасности в операционной системе или программе, DoS- и DDoS-атаки могут быть спроектированы таким образом, чтобы запросы вызывали программные ошибки или даже сбои системы. Примерами паттернов атак этого типа являются «пинг смерти» и атакой Лэнда.
Ping of Death. Цель этой атаки – вызвать сбой пораженной системы. Для этого злоумышленники используют ошибки реализации в интернет-протоколе (IP). IP-пакеты обычно отправляются в виде фрагментов.
Если вместе со сборкой пакетов отправляется неверная информация, некоторые операционные системы могут быть обмануты в создании IP-пакетов, размер которых превышает максимально разрешенные 64 КБ. Это может привести к «переполнению буфера», при котором чрезмерно большие объемы данных вызывают перезапись соседних ячеек памяти в целевой области памяти.
Land-Attack. В этом случае злоумышленник отправляет SYN-пакет как часть трехстороннего рукопожатия TCP, адреса назначения и отправителя которые соответствуют атакуемому серверу. Это приводит к тому, что сервер отправляет ответ на запрос в форме пакета SYN / ACK самому себе. Это можно интерпретировать как новый запрос на соединение, на который, в свою очередь, должен быть дан ответ пакетом SYN / ACK. Это создает ситуацию, в которой система постоянно отвечает на собственные запросы, что может привести к сбою.
Как предотвратить и уменьшить количество атак?
Разработаны различные меры безопасности для противодействия перегрузке ИТ-систем посредством DoS- и DDoS-атак. Отправные точки предлагают идентификацию критических IP-адресов и устранение известных брешей в безопасности. Также важно предоставить аппаратные и программные ресурсы, которые можно использовать для компенсации незначительных атак.
Черные списки IP
Черные списки позволяют идентифицировать критические IP-адреса и напрямую отбрасывать пакеты данных. Эта мера безопасности может быть реализована вручную или автоматически с помощью динамически создаваемых черных списков через межсетевой экран.
Фильтрация
Чтобы отфильтровать заметные пакеты данных, можно определить предельные значения для объемов данных в определенный период времени. Однако следует отметить, что прокси-серверы иногда приводят к тому, что многие клиенты с одним и тем же IP-адресом регистрируются на сервере и, возможно, блокируются без уважительной причины.
Файлы cookie SYN
Файлы cookie SYN предназначены для устранения пробелов в безопасности при установлении TCP-соединения. Если эта мера безопасности используется, информация о SYN-пакетах больше не сохраняется на сервере, а отправляется клиенту в виде криптографических файлов cookie. Атаки SYN flood используют вычислительные мощности, но не нагружают память целевой системы.
Балансировка нагрузки
Эффективное средство противодействия перегрузке – это распределение нагрузки между различными системами, что стало возможным благодаря балансировке нагрузки. Аппаратная нагрузка предоставляемых услуг распределяется по нескольким физическим машинам. Таким образом можно в определенной степени перехватить DoS- и DDoS-атаки.
Источник: poshyk.info
DDoS
DDoS — распределённая атака «отказ в обслуживании» (Distributed Denial-of-Service). В последние годы является распространённым способом нанести временный ущерб в Интернете атакуемой стороне. Целью является не допустить легитимные запросы клиентов к сервисам в сети атакуемой стороны.
История
Хакерские DoS-атаки начались ещё в 1960-х годах, причем на факсы: факсы-мишени засыпались бессмысленными сообщениями, которые перегружали их, как перегружают данными современные компьютерные системы. [1]
В середине 1990-х исследователи безопасности выделили особый тип атак на сетевые сервисы — «отказ в обслуживании». Особенностью этого типа атак является отсутствие у атакующего каких-либо прав в атакуемой системе. При этом система временно (пока не закончится атака или персонал не примет меры) не может обслуживать запросы легитимных клиентов.
В конце 1990-х/начале 2000-х в связи с ростом скоростей сетевых соединений и появлением первых зомби-сетей (сейчас это уже многомилионнохостовые ботнеты из заражённых MS Windows машин) появилась принципиально новая реализация атак типа «отказ в обслуживании». Если раньше для проведения атаки использовались ошибки в програмном обеспечении атакуемой стороны, то сейчас достаточно создать шквал пакетов от большого количества атакующих машин, чтобы атакуемая сторона просто не успевала обрабатывать входящий поток мусора.
Применение
Широко используется всеми присутствующими в Интернет крупными игроками, включая спецслужбы, корпорации и профессионалов-хакеров.
Иногда встречаются по сегодняшним меркам смешные казусы, когда политически озабоченные граждане (как правило гуманитарного образования) флэшмобят единодумцев (как правило столь же малограмотных в околокомпьютерных вещах) призывом «завалить» ненавистный им сайт потоком ping’ов большого размера. Учитывая, что сайты, как правило, живут в сетях хостеров с мощными ресурсами, попытки эти малопродуктивны.
Защита
Защита от распределённых атак на отказ в обслуживании является достаточно сложным комплексом мероприятий, обходящимся иногда дороже, чем возможный ущерб от атаки. Однако существуют относительно дешёвые варианты, которые могут поставляться вместе с услугами хостинга.
Будущее
Учитывая тенденции, вполне вероятно, что единственной защитой от мощной DDoS-атаки в будущем будет переход на распредёленные сервисы, так как создание централизованного ресурса, способного выдержать атаку половины Интернета, маловероятно и нецелесообразно.
Юмор
1. Одна человеческая клетка содержит 75Мб генетической информации
2. Один сперматозоид содержит 37.5Мб.
3. В одном миллилитре содержится около 100 млн сперматозоидов.
4. В среднем, эякуляция длится 5 секунд и составляет 2.25 мл спермы.
5. Таким образом, пропускная способность мужского члена будет равна:
(37.5Мб x 100M x 2.25)/5 = (37 500 000 байт/сперматозоид x 100 000 000 сперматозоид/мл x 2.25 мл) / 5 секунд = 1 687 500 000 000 000 байт/секунду = 1 687.5 Терабайт/с
Получается что женская яйцеклетка выдерживает эту DDoS–атаку на полтора терабайта в секунду, пропуская только один выбранный пакет данных и является самым офигенным в мире хардварным фаерволом.
Но тот один пакет, который она пропускает, кладёт систему на 9 месяцев. [2]
См. также
- Фильтрация входящего трафика
- DDoS-Guard
- DDoS-атаки на Живой Журнал в 2011 году
Примечания
- ↑http://www.popmech.ru/technologies/163699-10-internet-tekhnologiy-kotorye-starshe-chem-my-dumaem/
- ↑http://mihafilm.narod.ru/pc-computer/pc-humor.htm
Ссылки
- DDoS в 100 Гбит/с — репортаж с линии фронта от очевидца
- DDoS в ALL
Источник: wikireality.ru
Как происходит DDoS-атака и как бороться с DDoS
В конце сентября Сеть всколыхнула самая мощная в мире DDoS-атака, которая была совершена при помощи устройств интернета вещей.
О том, что такое угрозы DDoS (англ. Distributed Denial-of-Service – распределенная атака типа отказа от обслуживания – прим. ред.), каковы их особенности, насколько они распространены в Украине и как от них защититься, рассказали генеральный директор регистратора доменных имен Imena.UA Павел Блоцкий и технический директор хостинг-провайдера MiroHost Сергей Грибченко.
Сергей Грибченко: Сейчас есть немало бытовых приборов типа холодильников или стиральных машин, которые совсем не требуют доступа в интернет, но, тем не менее, его имеют. И это открывает хакерам новое поле для деятельности, ведь нет никаких видимых признаков того, что ваш роутер или холодильник работает в составе ботнета.
Объяснение: Ботнет представляет собой сеть из зараженных вредоносным ПО компьютеров, которые управляются в удаленном режиме хозяевами ботнета. Для создания ботнета используются трояны. Опытные хакеры создают их самостоятельно. В интернете также есть конструкторы троянов, позволяющие легко сгенерировать такое вредоносное ПО даже неспециалистам.
Однако большинство антивирусов распознает и обезвреживает такие трояны. Сначала трояны распространяются через доверчивых знакомых, форумы и тому подобное. Как только количество зараженных компьютеров превышает хотя бы 10 000, ботнет можно использовать для заработка. Например, для кликов по баннерам в различных партнерских сетях.
Павел Блоцкий: Обычные домашние компьютеры являются ненадежными и невыгодными с точки зрения использования их в DDoS-атаках. Поскольку в этом случае действие трояна становится достаточно заметным, что, в свою очередь, снижает возможность его дальнейшего использования. Злоумышленник, целью которого является финансовая выгода, заинтересован в длительной «службе» непроявленного трояна, то есть, чтобы такой вирус незаметно «жил» на каждом устройстве как можно дольше.
Зараженные ПК могут выполнять множество более выгодных функций: рассылать спам, генерировать фиктивные клики в рекламных и партнерских сетях, разгадывать «капчи», работать как прокси-анонимизаторы, красть персональные и платежные данные, пароли, личную и корпоративную переписку, зашифровать данные на компьютере с целью вымогательства денег за расшифровку и тому подобное. То есть DDoS является самым примитивным и наименее прибыльным способом использования бот-сети.
Сергей Грибченко: С развитием интернета вещей количество подключенных к Сети устройств вырастет во много раз. С одной стороны, это создаст новые условия для развития ботнетов, а с другой – новое пространство для DDoS. Это очевидно уже сегодня. Ведь блокирование работы «умного» дома или отдельных устройств, которые не имеют защиты от таких атак, может иметь неприятные последствия.
Очень ярко эту тенденцию проиллюстрировал недавний мощный DDoS американского провайдера Dyn. Так, в сеть был выложен исходный код бот-сети Mirai, что позволяет заражать роутеры и видеокамеры, создавая таким образом собственные бот-сети. Именно с использования таких бот-сетей 21 октября 2016 года была предпринята беспрецедентная атака на DNS провайдера Dyn. В результате этой атаки на несколько часов «легли» сайты и сервисы почти мирового значения — такие как Twitter, PayPal, CNN, Spotify и тому подобное.
Украинский интернет и украинский DDOS
В Украине DDoS-атаки большого масштаба редкость, что, к сожалению, не исключает почти ежедневный DDoS разных сайтов.
Павел Блоцкий: В украинском сегменте Сети громких DDoS-атак не было со времен блокировки EX.UA. Тогда, в феврале 2012 года, после отключения файлообменника пользователи «DDoSили» сайты правительственных и силовых структур. Ресурсы не имели серьезной защиты, и атака была успешной – в течение двух дней атакованные сайты были недоступны.
Хотя таких крупных атак уже давно не было, это не значит, что их нет вообще. Это интернет, и здесь постоянно кого-то понемногу «DDoSять». В подавляющем большинстве случаев страдают небольшие сайты, которые хостяться» на площадках мелких провайдеров. Именно на таких ресурсах постоянно тренируются хакеры-новички.
Веб-сайты некоторых государственных учреждений почти постоянно подвергаются нападениям, но, несмотря на небольшую силу атаки, они выдерживают. Этомe мало кто уделяет внимание.
Сергей Грибченко: Так, подавляющее большинство «DDoSеров» – это именно молодые хакеры, которые учатся. Иногда, как это было в случае с EX.UA, к атакам подключаются «народные массы». Это типичный пример работы сетевых активистов, которые поднимают на борьбу широкие массы пользователей. За рубежом это достаточно распространенное явление.
Очень редко DDoS применяют как инструмент ограничения доступа к определенной информации. Например, чтобы «положить» сайт какой-то политической партии или деятеля перед выборами, заблокировать доступ к опубликованных материалов. Ранее во время сезона распродаж интернет-магазины «DDoSили» друг друга. К счастью, эта практика уже отошла в прошлое, потому что организация и проведение DDoS-атаки стоит недешево.
Одним словом, чем дольше происходит DDoS, тем он дороже. Это означает, что, рано или поздно, придет время прекратить атаку, даже если она успешная. Поэтому обычно DDoS редко длится больше чем несколько часов. А за такое время сайт можно защитить.
Сергей Грибченко: DDoS полностью разоблачает задействованы в атаке ботнеты. В случае DDoS-атаки ботнеты раскрывают себя и быстро блокируются, владелец теряет над ними контроль. С началом атаки срок жизни ботнета, который создавался месяцами, идет на часы.
Сейчас ботнеты используются для распределенных вычислений или генерации криптовалют, то есть менее провокационным и более прибыльных активностей. Устройства, объединенные в ботнет, тратят часть своих ресурсов на решение сложных математических задач, в результате которых создается криптовалюта (цифровые деньги, эмиссия и обращение которых децентрализованные и базируются на методах криптографии). Задачи могут быть и более конкретными, например, взлом паролей.
Как происходит DDoS атака
Павел Блоцкий: DDoS – это распределенная атака, которая происходит с большого количества мест и направлена на прекращение или существенное замедление работы веб-ресурса. Запросы поступают с очень высокой скоростью, они занимают интернет-канал. В таком случае страдают и другие сайты, которые расположены на атакованном сервере. Нападающие пытаются отправить на сайт больше запросов, чем тот способен обработать. Если это удается – ресурс становится недоступным.
По своему характеру такие запросы отличаются от обычного трафика, который создают пользователи. Это позволяет как оборудованию, так и специалистам распознавать атаки и принимать соответствующие меры для противодействия.
Павел Блоцкий: Создание большого потока данных, которые занимают весь интернет-канал – это самый примитивный и не самый эффективный вид атаки. Для перегрузки сайта могут использоваться обращения к базе данных или отдельных форм, например поиска или формы регистрации нового пользователя. Встречаются и более сложные атаки, где злоумышленники имитируют действия пользователей. Как правило, серьезная атака разрабатывается индивидуально, сочетает несколько видов нападения, планируется заблаговременно и базируется на «дырах» сайта-жертвы.
Защита от DDoS
Сергей Грибченко: Защита от атак, как правило, полностью автоматизирована. Провайдеры имеют сложные системы фильтрации, и как только фиксируется аномальное нагрузки на сайт или сервер, срабатывают фильтры. Происходит анализ потока данных, включаются фильтры и блокируют нежелательный трафик. У крупных провайдеров кроме оборудования анализом трафика занимаются еще и соответствующие специалисты, которые могут корректировать защиту в ручном режиме.
Интеллектуальные системы, как Cisco Guard, не только фильтруют трафик, но и определяют источник атаки и информируют других провайдеров. IP-адреса нападавших попадают в «черные» списки, и после этого атака очень быстро утихает. В большинстве случаев атака длится несколько часов, очень редко – более одного дня.
И, однако, даже полностью автоматизированные системы защиты требуют высококвалифицированных и опытных специалистов.
Павел Блоцкий: Малые или дешевые провайдеры делают то, чего добиваются злоумышленники: не имея защиты от DDoS-атак, они просто выключают сервер или сайт, которые стали жертвой киберпреступников. Крупные провайдеры так поступают лишь в исключительных случаях. Крупные компании используют CDN-сети (Content Distribution Network). Работает это таким образом: когда пользователь обращается к сайту, запрос обрабатывает ближайший по географическому расположению сервер CDN, который выдает необходимую страницу, что находится в его кэше, или перенаправляет запрос на сайт. Такая схема очень усложняет атаку, так как требует чрезвычайно много ресурсов для совершения нападения.
Также защититься от DDoS можно путем переноса сайта на более защищенный хостинг. Именно так в Imena.UA/MiroHost пришло немало новых клиентов. Хорошую защиту от DDoS имеет хостинг UKRAINE.
Павел Блоцкий: DDoS-атаки – это инструмент для шантажа и вымогательства денег, сами по себе они не являются на 100% эффективными. Злоумышленники связываются с жертвой после начала атаки и требуют несколько тысяч долларов за прекращение атаки.
Впрочем, есть сферы деятельности, в которых применение DDoS может иметь вполне самодостаточный характер. Так, кроме чисто «исследовательских» целей и интернет-вандализма, DDoS-атаки эффективны против ресурсов и сервисов, чувствительных даже к кратковременным простоям. Например, торговых площадок и финансовых учреждений, аварийных служб и тому подобное. На уровне государств мощные DDoS-атаки могут быть использованы как элементы военной стратегии с целью вывода из строя информационных систем противника.
Сергей Грибченко: Систем фильтрации и «черных списков» вполне достаточно, чтобы ослабить атаку. После начала блокировки ботнета нападающим будет непросто поддерживать силу и интенсивность потока трафика. И, вероятнее всего, все усилия окажутся напрасными, а заказчик просто потратит деньги, не достигнув желаемого результата.
Источник: innotechnews.com