Android. Операционна система. Мултимедия. Социални медии. Инструменти. Кодеци. Графика
Вие сте тук: » »

DDoS атака - какво е това? Програма за DDoS атака. ФСБ откри наказателно дело за масова DDoS атака срещу руски банки. Как да се предпазите от наводнение

Атака, по време на която потребителите нямат достъп до определени ресурси, се нарича DDoS атака или проблем с отказ на услуга. Основната характеристика на подобни хакерски атаки са едновременните заявки от голям брой компютри по целия свят, като те са насочени главно към сървърите на добре защитени компании или държавни организации и по-рядко към отделни некомерсиални ресурси.

Компютърът, който е заразен, се превръща в нещо като „зомби“ и хакерите, използвайки няколко стотин или дори десетки хиляди такива „зомбита“, причиняват отказ на ресурси (отказ от услуга).

Може да има много причини за DDoS атаки. Нека се опитаме да идентифицираме най-популярните и в същото време да отговорим на въпросите: „DDoS атака - какво е това, как да се защитите, какви са последствията от него и с какви средства се извършва?“

Конкуренция

Интернет отдавна е източник на бизнес идеи, изпълнение на големи проекти и други начини за печелене на доста пари, така че DDoS атака може да се извърши по поръчка. Тоест, ако една организация, когато се появи конкурент, иска да го премахне, тогава тя може просто да се обърне към хакер (или група от тях) с проста задача - да парализира работата на нежелана компания чрез интернет ресурси (DDoS атака срещу сървър или уебсайт).

В зависимост от конкретните цели и задачи такова нападение се установява за определен период и с използване на подходяща сила.

Измама

Доста често DDoS атака срещу уебсайт се организира по инициатива на хакери с цел блокиране на системата и получаване на достъп до лични или други важни данни. След като атакуващите парализират системата, те могат да поискат определена сума пари за възстановяване на функционалността на атакуваните ресурси.

Много интернет предприемачи се съгласяват с предложените условия, оправдавайки действията си с престой в работата си и понасяйки огромни загуби - по-лесно е да платите малка сума на измамник, отколкото да загубите значителни печалби за всеки ден престой.

Развлечение

Много потребители, просто от любопитство или забавление, се интересуват от: „DDoS атака - какво е това и как да го направя?“ Ето защо често има случаи, когато начинаещи нападатели, за забавление и тест за сила, организират такива атаки срещу произволни ресурси.

Наред с причините, DDoS атаките имат свои собствени класификационни характеристики.

  1. Честотни ленти. Днес почти всяко компютърно място е оборудвано с едно от двете локална мрежа, или просто свързан към интернет. Поради това има чести случаи на наводняване на мрежата - голям брой заявки с неправилно формирана и безсмислена система към конкретни ресурси или оборудване с цел последващ отказ или повреда твърди дискове, памет и др.).
  2. Изчерпване на системата. Тази DDoS атака на сървъра на Samp се извършва за улавяне физическа памет, процесорно време и други системни ресурси, поради липсата на които атакуваният обект просто не може да работи пълноценно.
  3. Лупинг. Безкрайната проверка на данни и други цикли, които работят в кръг, принуждават обекта да губи много ресурси, като по този начин задръства паметта, докато не бъде напълно изтощена.
  4. Фалшиви атаки. Тази организация е насочена към фалшиво задействане на системи за защита, което в крайна сметка води до блокиране на някои ресурси.
  5. HTTP протокол. Хакерите изпращат HTTP пакети с малък капацитет със специално криптиране, ресурсът, естествено, не вижда, че върху него се стартира DDoS атака, сървърната програма, докато върши работата си, изпраща обратно пакети с много по-голям капацитет, като по този начин задръства жертвата честотна лента, което води отново до отказ на услугите.
  6. Смърф атака. Това е един от най-опасните видове. Хакерът изпраща фалшив ICMP пакет на жертвата чрез излъчващ канал, където адресът на жертвата се заменя с адреса на атакуващия и всички възли започват да изпращат отговор на заявката за ping. Тази DDoS атака е програма, насочена към използване голяма мрежа, т.е. заявка, обработена от 100 компютъра, ще бъде увеличена 100 пъти.
  7. UDP наводнение. Този тип атака е донякъде подобна на предишната, но вместо ICMP пакети, нападателите използват UDP пакети. Същността на този метод е да замени IP адреса на жертвата с този на хакера и да зареди напълно честотната лента, което също ще доведе до срив на системата.
  8. SYN наводнение. Нападателите се опитват да стартират едновременно голям брой TCP връзки през SYN канал с неправилен или напълно липсващ адрес за връщане. След няколко такива опита повечето операционни системи поставят в опашка проблемната връзка и я затварят само след определен брой опити. Потокът на SYN канала е доста голям и скоро, след много такива опити, ядрото на жертвата отказва да отвори всяка нова връзка, блокирайки цялата мрежа.
  9. "Тежки пакети". Този тип дава отговор на въпроса: „Какво е DDoS атака на сървър?“ Хакерите изпращат пакети до сървъра на потребителя, но честотната лента не се насища, действието е насочено само към процесорното време. В резултат на това такива пакети водят до повреда в системата, а тя от своя страна до нейните ресурси.
  10. Регистрационни файлове. Ако системата за квоти и ротация има дупки в сигурността, тогава нападателите могат да изпращат големи пакети, като по този начин вземат всичко свободно пространствона твърди дисковесървър.
  11. Програмен код. Хакери с богат опит могат напълно да проучат структурата на сървъра на жертвата и да стартират специални алгоритми (DDoS атака - експлойт програма). Такива атаки са насочени основно към добре защитени търговски проекти на предприятия и организации в различни области и области. Нападателите намират дупки в програмния код и изпълняват невалидни инструкции или други изключителни алгоритми, които причиняват срив на системата или услугата.

DDoS атака: какво е това и как да се защитите

Има много методи за защита срещу DDoS атаки. И всички те могат да бъдат разделени на четири части: пасивни, активни, реакционни и превантивни. За което ще говорим по-подробно по-късно.

Предупреждение

Тук трябва да предотвратим самите причини, които могат да провокират DDoS атака. Този тип може да включва известна лична враждебност, правни разногласия, конкуренция и други фактори, които провокират „повишено“ внимание към вас, вашия бизнес и т.н.

Ако реагирате навреме на тези фактори и направите подходящи изводи, можете да избегнете много неприятни ситуации. Този метод може да се счита повече за проблем, отколкото за проблем. техническа странавъпрос.

Мерки за реагиране

Ако атаките срещу вашите ресурси продължат, тогава трябва да намерите източника на вашите проблеми - клиента или изпълнителя - като използвате както правни, така и технически лостове. Някои компании предоставят услуги за търсене на нарушители технически. Въз основа на квалификацията на специалистите, ангажирани с този проблем, е възможно да се открие не само хакерът, който извършва DDoS атаката, но и самият клиент.

Софтуерна защита

Някои производители на хардуер и софтуер, заедно с продуктите си, могат да предложат доста ефективни решения и DDoS атака на сайт ще бъде спряна в зародиш. Отделен малък сървър, насочен към противодействие на малки и средни DDoS атаки, може да действа като технически защитник.

Това решение е идеално за малки и средни предприятия. За повече големи компании, предприятия и държавни агенции, съществуват цели хардуерни системи за борба с DDoS атаки, които наред с високата цена имат отлични защитни характеристики.

Филтриране

Блокирането и внимателното филтриране на входящия трафик не само ще намали вероятността от атака. В някои случаи DDoS атака срещу сървъра може да бъде напълно изключена.

Има два основни начина за филтриране на трафика - защитни стени и маршрутизиране с пълен списък.

Филтрирането с помощта на списъци (ACL) ви позволява да филтрирате несъществени протоколи, без да прекъсвате TCP или да намалявате скоростта на достъп до защитения ресурс. Въпреки това, ако хакерите използват ботнет мрежи или високочестотни заявки, тогава този метод ще бъде неефективен.

Те защитават много по-добре от DDoS атаки, но единственият им недостатък е, че са предназначени само за частни и некомерсиални мрежи.

Огледало

Същността на този метод е да пренасочи целия входящ трафик на нападателя обратно. Това може да стане, като имате мощни сървъри и компетентни специалисти, които не само ще пренасочат трафика, но и ще могат да деактивират оборудването на нападателя.

Методът няма да работи, ако има грешки в системните услуги, програмните кодове и други мрежови приложения.

Търсене на уязвимости

Този тип защита е насочена към корекция на експлойти, премахване на грешки в уеб приложения и системи, както и други услуги, отговорни за мрежовия трафик. Методът е безполезен срещу flood атаки, които са насочени конкретно към тези уязвимости.

Съвременни ресурси

Този метод не може да гарантира 100% защита. Но ви позволява по-ефективно да извършвате други мерки (или набор от тях) за предотвратяване на DDoS атаки.

Система и разпределение на ресурсите

Дублирането на ресурси и системите за разпространение ще позволят на потребителите да работят с вашите данни, дори ако вашият сървър е под DDoS атака. За разпространение можете да използвате различно сървърно или мрежово оборудване, а също така се препоръчва физически да разделите услугите в различни дублирани системи (центрове за данни).

Този метод на защита е най-ефективният до момента, при условие че е създаден правилният архитектурен проект.

Укриване

Основната характеристика на този метод е извеждането и отделянето на атакувания обект ( име на домейнили IP адрес), т.е. всички работни ресурси, разположени на един сайт, трябва да бъдат разделени и разположени на трета страна мрежови адреси, или дори на територията на друга държава. Това ще ви позволи да оцелеете при всяка атака и да запазите вътрешната си ИТ структура.

Услуги за защита срещу DDoS атаки

След като казахме всичко за такъв бич като DDoS атака (какво е това и как да се справим с него), най-накрая можем да дадем един добър съвет. Много големи организации предлагат своите услуги за предотвратяване и предотвратяване на подобни атаки. По принцип такива компании използват цял ​​набор от мерки и различни механизми, за да защитят вашия бизнес от повечето DDoS атаки. Те наемат специалисти и експерти в своята област, така че ако вашият ресурс е скъп за вас, тогава най-добрият (макар и не евтин) вариант би бил да се свържете с една от тези компании.

Как сами да извършите DDoS атака

Осъзнат е предварително въоръжен - истински принцип. Но не забравяйте, че умишленото организиране на DDoS атака от индивид или група хора е криминално престъпление, така че този материал се предоставя само за информационни цели.

Американски експерти по предотвратяване на ИТ заплахи са разработили програма за тестване на устойчивостта на натоварване на сървъра и възможността нападателите да извършват DDoS атаки и след това да елиминират тази атака.

Естествено, „горещите“ умове обърнаха това оръжие срещу самите разработчици и срещу това, срещу което се бореха. Кодовото име на продукта е LOIC. Тази програма е свободно достъпна и по принцип не е забранена от закона.

Интерфейсът и функционалността на програмата са доста прости; всеки, който се интересува от DDoS атака, може да я използва.

Как да направите всичко сами? В интерфейсните редове просто въведете IP жертвите, след това задайте TCP и UDP потоците и броя на заявките. Воала - след натискане на заветния бутон атаката започна!

Естествено, никакви сериозни ресурси няма да бъдат засегнати от този софтуер, но малките могат да изпитат някои проблеми.

Тази организация, в допълнение към регистрацията на имена на домейни в зоната .tr, също така осигурява опорни комуникации на турските университети. Анонимни хактивисти поеха отговорност за атаката, обвинявайки турското ръководство в подкрепа на ISIS.

Първите признаци на DDoS се появиха сутринта на 14 декември; до обяд пет сървъра на NIC.tr се сринаха под натиска на нежелана атака с капацитет до 40 Gbps. Проблемът засегна и координационния център RIPE, който предоставя алтернативна NS инфраструктура NIC.tr. Представители на RIPE отбелязаха, че атаката е модифицирана по такъв начин, че да заобиколи мерките за сигурност на RIPE.

Мащабните DDoS атаки се превръщат в най-ефективния начин за прекъсване на уеб услугите - цената на атаките непрекъснато намалява, което позволява увеличаване на мощността: само за две години средната мощност на DDoS атака се е учетворила до 8 Gbps. В сравнение със средните стойности атаката срещу националната домейн зона на Турция изглежда впечатляваща, но експертите подчертават, че DDoS атаките на ниво от 400 Gbps скоро ще станат норма.

Уникалността на турската атака е, че нападателите са избрали правилната цел: концентрирайки се върху сравнително малък брой IP адреси, те са успели практически да осакатят инфраструктурата на цяла държава само с 40-гигабитова атака.

турски национален центърреакцията на кибер инциденти блокира целия трафик, идващ към сървърите на NIC.tr от други страни, поради което всичките 400 хиляди турски сайта станаха недостъпни и всички съобщения имейлвърнати на подателите. По-късно центърът реши да промени тактиката, блокирайки избирателно подозрителни IP адреси. DNS сървърите за домейни в зоната .tr бяха преконфигурирани, за да разпределят заявки между публични и частни сървъри, с помощта на турските интернет доставчици Superonline и Vodafone.

Атакуваните домейни се върнаха онлайн същия ден, но много сайтове и пощенски услугиРаботиха с прекъсвания още няколко дни. Засегнати бяха не само местни компании и правителствени организации, но и много национални уеб ресурси, които избраха име на домейн в зоната .tr; общо това са около 400 хиляди уебсайта, 75% от които са корпоративни. Използва се и турски национален домейн образователни институции, общини и военни.

Докато "анонимните" не направиха изявление, мнозина обвиняваха руснаците за DDoS атаката - поради напрегнатите отношения между Турция и Русия. По едно време по подобни причини руски хакери бяха заподозрени в участие в мащабни кибератаки срещу Естония (2007), Грузия (2008) и Украйна (2014). Някои експерти смятат, че турският DDoS е отговорът на руснаците на DDoS атака от турски кибергрупи на руския новинарски сайт Sputnik.

Изявлението на Анонима лиши хипотезата за „руска следа“ от всякаква основа. Хактивистите също заплашват да атакуват турски летища, банки, правителствени сървъри и военни организации, ако Türkiye не спре да помага на ISIS.

Кой е атакуван?

Според Централната банка през 2016 г. броят на руските финансови институции почти се е удвоил. През ноември DDoS атаките бяха насочени към пет големи руски банки. В края на миналата година Централната банка съобщи за DDoS атаки срещу финансови организации, включително Централната банка. „Целта на атаките беше да нарушат услугите и в резултат на това да подкопаят доверието в тези организации. Тези атаки бяха забележителни, защото това беше първото широкомащабно използване на Интернет на нещата в Русия. Атаката включваше основно интернет видеокамери и битови рутери“, отбелязват службите за сигурност на големите банки.

В същото време DDoS атаките не причиниха значителни щети на банките - те са добре защитени, така че подобни атаки, въпреки че причиниха проблеми, не бяха критични и не нарушиха нито една услуга. Въпреки това може да се констатира, че антибанковата активност на хакерите се е увеличила значително.

През февруари 2017г технически услугиРуското министерство на здравеопазването отблъсна най-голямата DDoS атака през последните години, която в пика си достигна 4 милиона заявки в минута. Имаше и DDoS атаки държавни регистри, но те също бяха неуспешни и не доведоха до промени в данните.

Въпреки това много организации и компании, които нямат толкова мощни „защити“, стават жертви на DDoS атаки. Очаква се през 2017 г. щетите от киберзаплахи – рансъмуер, DDoS и атаки срещу устройства за интернет на нещата – да се увеличат.


IoT устройствата стават все по-популярни като инструменти за извършване на DDoS атаки. Значително събитие беше DDoS атаката, стартирана през септември 2016 г. с помощта на зловреден кодМирай. В него стотици хиляди камери и други устройства от системите за видеонаблюдение са действали като средство за атака.

То е извършено срещу френския хостинг доставчик OVH. Беше мощна DDoS атака - почти 1 Tbit/s. Хакери използваха ботнет, за да експлоатират 150 хиляди IoT устройства, предимно камери за видеонаблюдение. Атаките на ботнет мрежи Mirai доведоха до много ботнет мрежи за IoT устройства. Според експерти през 2017 г. IoT ботнетите ще продължат да бъдат една от основните заплахи в киберпространството.


Според доклада за инциденти с нарушаване на данните на Verizon за 2016 г. (DBIR), броят на DDoS атаките се е увеличил значително миналата година. В света развлекателната индустрия, професионалните организации, образованието, ИТ и търговията на дребно страдат най-много.

Забележителна тенденция при DDoS атаките е разширяването на „списъка на жертвите“. Вече включва представители от почти всички индустрии. В допълнение, методите за атака се подобряват.
Според Nexusguard в края на 2016 г. броят на DDoS атаките от смесен тип - използващи няколко уязвимости наведнъж - се е увеличил значително. Най-често на тях са подложени финансови и държавни организации. Основният мотив на киберпрестъпниците (70% от случаите) е кражбата на данни или заплахата от тяхното унищожаване срещу откуп. По-рядко – политически или социални цели. Ето защо отбранителната стратегия е важна. Може да се подготви за атака и да минимизира последствията от нея, намалявайки финансовите рискове и рисковете за репутацията.

Последици от атаките

Какви са последствията от DDoS атака? По време на атаката жертвата губи клиенти поради бавна работаили пълна недостъпност на сайта, репутацията на бизнеса страда. Доставчикът на услуги може да блокира IP адреса на жертвата, за да сведе до минимум щетите за други клиенти. Възстановяването на всичко ще отнеме време и вероятно пари.
Според проучването на компанията, DDoS атаките се считат от половината организации за една от най-сериозните кибер заплахи. Опасността от DDoS е дори по-голяма от опасността от неоторизиран достъп, вируси, измами и фишинг, да не говорим за други заплахи.

Средните загуби от DDoS атаки се оценяват в световен мащаб на $50 000 за малки организации и почти $500 000 за големи предприятия. Елиминирането на последствията от DDoS атака ще изисква допълнително време на персонала, отклоняване на ресурси от други проекти за осигуряване на сигурност, разработване на план за актуализиране на софтуера, модернизация на оборудването и др.


Репутацията на атакуваната организация може да пострада не само поради лоша работасайт, но и поради кражба на лични данни или финансова информация.
Според проучване на компанията броят на DDoS атаките нараства годишно с 200%; всеки ден в света се отчитат 2 хиляди атаки от този тип. Цената за организиране на едноседмична DDoS атака е само около $150, а загубите на жертвата средно надхвърлят $40 000 на час.

Видове DDoS атаки

Основните видове DDoS атаки са масивни атаки, атаки на ниво протокол и атаки на ниво приложение. Във всеки случай целта е да деактивирате сайта или да откраднете данни. Друг вид киберпрестъпност е заплахата от DDoS атака за получаване на откуп. Такива хакерски групи като Armada Collective, Lizard Squad, RedDoor и ezBTC са известни с това.

Организирането на DDoS атаки стана забележимо по-лесно: сега има широко достъпни автоматизирани инструменти, които практически не изискват специални познания от киберпрестъпниците. Има също платени услуги DDoS за атака на целта анонимно. Например услугата vDOS предлага услугите си, без да проверява дали клиентът е собственик на сайта, който иска да го тества „под натоварване“, или това се прави с цел атака.


DDoS атаките са атаки от множество източници, които пречат на легитимните потребители да получат достъп до целевия сайт. За да направи това, той изпраща към атакуваната система огромно количествоискания, с които тя не може да се справи. Обикновено за тази цел се използват компрометирани системи.

Годишното увеличение на броя на DDoS атаките се оценява на 50% (според), но данните различни източницисе различават, но не всички инциденти стават известни. Средната мощност на DDoS атаките на слой 3/4 се е увеличила през последните години от 20 до няколкостотин GB/s. Въпреки че масивните DDoS атаки и атаките на ниво протокол са достатъчно лоши сами по себе си, киберпрестъпниците все повече ги комбинират с DDoS атаки от слой 7, тоест на ниво приложение, които са насочени към промяна или кражба на данни. Такива „многовекторни“ атаки могат да бъдат много ефективни.


Многовекторните атаки съставляват около 27% от общия брой DDoS атаки.

В случай на масова DDoS атака (базирана на обем), се използват голям брой заявки, често изпратени от легитимни IP адреси, така че сайтът се „задушава“ в трафик. Целта на подобни атаки е да „запушат“ цялата налична честотна лента и да блокират законния трафик.

В случай на атака на ниво протокол (като UDP или ICMP), целта е да се изчерпят системните ресурси. За целта се изпращат отворени заявки, например TCP/IP заявки с фалшиви IP адреси и в резултат на изчерпване на мрежовите ресурси става невъзможно да се обработват легитимни заявки. Типични представители са DDoS атаките, известни в тесните кръгове като Smurf DDos, Ping of Death и SYN flood. Друг тип DDoS атака на ниво протокол включва изпращане на голям брой фрагментирани пакети, които системата не може да обработи.

DDoS атаките от ниво 7 включват изпращане на привидно безобидни заявки, които изглеждат като резултат от нормални потребителски действия. Обикновено те се извършват с помощта на ботнет мрежи и автоматизирани инструменти. Забележителни примери са Slowloris, Apache Killer, Междусайтов скрипт, SQL инжектиране, отдалечено инжектиране на файл.

През 2012–2014 г. по-голямата част от масивните DDoS атаки бяха атаки без състояние (без запомняне на състояния или проследяване на сесии) - те използваха UDP протокола. В случая на Stateless много пакети циркулират в една сесия (например отваряне на страница). Устройствата без състояние по правило не знаят кой е започнал сесията (поиска страницата).

UDP протоколът е податлив на подмяна - подмяна на адрес. Например, ако искате да атакувате DNS сървъра на 56.26.56.26 с помощта на атака с DNS Amplification, можете да създадете набор от пакети с изходен адрес 56.26.56.26 и да ги изпратите до DNS сървъри по целия свят. Тези сървъри ще изпратят отговор на 56.26.56.26.

Същият метод работи за NTP сървъри, устройства с активиран SSDP. NTP протоколе може би най-популярният метод: през втората половина на 2016 г. е използван при 97,5% от DDoS атаките.
Правило 38 за най-добра текуща практика (BCP) препоръчва доставчиците на интернет услуги да конфигурират шлюзове, за да предотвратят подправяне - адресът на изпращача и мрежата на източника се контролират. Но не всички страни следват тази практика. В допълнение, нападателите заобикалят контролите на BCP 38, като използват Stateful атаки на ниво TCP. Според F5 Security Operations Center (SOC) подобни атаки са доминирали през последните пет години. През 2016 г. имаше два пъти повече TCP атаки, отколкото UDP атаки.

Атаките от слой 7 се използват главно от професионални хакери. Принципът е следният: взема се „тежък“ URL (с PDF файлили заявка към голяма база данни) и се повтаря десетки или стотици пъти в секунда. Атаките от слой 7 имат тежки последствия и са трудни за откриване. Сега те представляват около 10% от DDoS атаките.


Съотношение различни видове DDoS атаки според Verizon Data Breach Investigations Report (DBIR) (2016).

DDoS атаките често са синхронизирани така, че да съвпадат с периоди на пиков трафик, например дни за онлайн продажби. Големите потоци от лични и финансови данни в този момент привличат хакери.

DDoS атаки срещу DNS

Системата за имена на домейни (DNS) играе основна роля в производителността и наличността на уебсайт. В крайна сметка – в успеха на вашия бизнес. За съжаление, DNS инфраструктурата често е цел на DDoS атаки. Като потискат вашата DNS инфраструктура, нападателите могат да навредят на уебсайта ви, репутацията на вашата компания и да повлияят на финансовите ви резултати. За да се бори с днешните заплахи, DNS инфраструктурата трябва да бъде много устойчива и мащабируема.
По същество DNS е разпределена базаданни, които, наред с други неща, свързват лесни за четене имена на сайтове с IP адреси, което позволява на потребителя да стигне до желания сайт след въвеждане на URL адрес. Първото взаимодействие на потребителя с уебсайт започва с DNS заявки, изпратени до DNS сървъра с адреса на интернет домейна на вашия уебсайт. Тяхната обработка може да представлява до 50% от времето за зареждане на уеб страница. По този начин намалената производителност на DNS може да доведе до напускане на сайта на потребителите и бизнес загуби. Ако вашият DNS сървър спре да отговаря в резултат на DDoS атака, тогава никой няма да може да получи достъп до вашия сайт.

DDoS атаките са трудни за откриване, особено в началото, когато трафикът изглежда нормален. DNS инфраструктурата може да бъде обект на различни видове DDoS атаки. Понякога това е директна атака срещу DNS сървъри. В други случаи се използват експлойти чрез използване на DNS системи за атака на други елементи от ИТ инфраструктурата или услугите.


При DNS Reflection атаки целта е изложена на масово подправени DNS отговори. За целта се използват ботнет мрежи, които заразяват стотици и хиляди компютри. Всеки бот в такава мрежа генерира няколко DNS заявки, но използва същия целеви IP адрес като изходния IP (спуфинг). DNS услугата отговаря на този IP адрес.

Така се постига двоен ефект. Целевата система е бомбардирана с хиляди и милиони DNS отговори и DNS сървърът може да падне, неспособен да се справи с натоварването. Самата DNS заявка обикновено е по-малка от 50 байта, но отговорът е десет пъти по-дълъг. Освен това DNS съобщенията могат да съдържат доста друга информация.

Да приемем, че атакуващият е изпратил 100 000 кратки DNS заявки от 50 байта всяка (5 MB общо). Ако всеки отговор съдържа 1 KB, тогава общата сума вече е 100 MB. Оттук и името – Amplification. Комбинацията от DNS Reflection и Amplification атаки може да има много сериозни последствия.


Заявките изглеждат като нормален трафик, а отговорите са много големи съобщения, насочени към целевата система.

Как да се защитим от DDoS атаки?

Как да се предпазите от DDoS атаки, какви стъпки да предприемете? Първо, не го отлагайте „за по-късно“. Трябва да се вземат предвид някои мерки при конфигуриране на мрежата, стартиране на сървъри и внедряване на софтуер. И всяка следваща промяна не трябва да увеличава уязвимостта към DDoS атаки.
  • Сигурност на софтуерния код. Когато пишете софтуер, трябва да се вземат предвид съображенията за сигурност. Препоръчително е да следвате стандартите за „безопасно кодиране“ и да тествате софтуера внимателно, за да избегнете типични грешкии уязвимости като междусайтови скриптове и SQL инжектиране.

  • Разработете план за актуализиране на софтуера. Винаги трябва да има опция за връщане назад, ако нещо се обърка.

  • Актуализирайте софтуера си незабавно. Ако сте успели да изтеглите актуализациите, но са възникнали проблеми, вижте точка 2.

  • Не забравяйте за ограниченията за достъп. admin и/или акаунтите трябва да бъдат защитени със силни и редовно променяни пароли. Необходим е и периодичен одит на правата за достъп и своевременно изтриване на акаунти на напуснали служители.

  • Административният интерфейс трябва да е достъпен само от вътрешната мрежа или чрез VPN. Незабавно затворете VPN достъпа за напуснали и особено уволнени служители.

  • Включете смекчаване на DDoS атаки във вашия план за възстановяване след бедствие. Планът трябва да включва начини за откриване на факта на такава атака, контакти за комуникация с интернет или хостинг доставчик и дърво за „ескалация на проблема“ за всеки отдел.

  • Сканирането за уязвимости може да помогне за идентифициране на проблеми във вашата инфраструктура и софтуер, намаляват рисковете. Един прост тест за топ 10 на уязвимостта на OWASP ще разкрие най-критичните проблеми. Тестовете за проникване също ще бъдат полезни - те ще ви помогнат да намерите слаби места.

  • Хардуерната защита срещу DDoS атаки може да бъде скъпа. Ако бюджетът ви не позволява това, т.е добра алтернатива– DDoS защита “при поискване”. Тази услуга може да бъде включена проста промянасхеми за маршрутизиране на трафика в извънредна ситуация или е постоянно защитен.

  • Използвайте CDN партньор. Мрежите за доставка на съдържание ви позволяват да доставяте съдържание на уебсайт през разпределена мрежа. Трафикът се разпределя между множество сървъри, намалявайки забавянето на достъпа на потребителите, включително географски отдалечени. Така че докато основната полза от CDN е скоростта, тя също така служи като бариера между основния сървър и потребителите.

  • Използвайте Web Application Firewall - защитна стена за уеб приложения. Той следи трафика между сайт или приложение и браузъра, като проверява легитимността на заявките. Работейки на ниво приложение, WAF може да открие атаки въз основа на съхранени модели и да открие необичайно поведение. Атаките на ниво приложение са често срещани в електронната търговия. Както при CDN, можете да използвате WAF услуги в облака. Конфигурирането на правилата обаче изисква известен опит. В идеалния случай всички основни приложения трябва да бъдат защитени от WAF.

    • DNS защита

    Как да защитите своята DNS инфраструктура от DDoS атаки? Конвенционалните защитни стени и IPS няма да помогнат тук; те са безсилни срещу сложна DDoS атака срещу DNS. Всъщност самите защитни стени и системи за предотвратяване на проникване са уязвими на DDoS атаки.
    Те могат да се притекат на помощ облачни услугипочистване на трафика: изпраща се до определен център, където се проверява и пренасочва обратно към местоназначението. Тези услуги са полезни за TCP трафик. Тези, които управляват своя собствена DNS инфраструктура, могат да предприемат следните стъпки, за да смекчат ефектите от DDoS атаките.
  • Наблюдението на DNS сървърите за подозрителна дейност е първата стъпка в защитата на вашата DNS инфраструктура. Търговски DNS решения и продукти с отворен код изходен код, като BIND, предоставят статистика в реално време, която може да се използва за откриване на DDoS атаки. Мониторингът на DDoS атаки може да бъде ресурсоемка задача. Най-добре е да създадете базов профил на инфраструктурата при нормални работни условия и след това да го актуализирате от време на време, когато инфраструктурата се развива и моделите на трафик се променят.

  • Допълнителните ресурси на DNS сървъра могат да помогнат в борбата с дребномащабни атаки чрез предоставяне на излишък на DNS инфраструктурата. Сървърните и мрежовите ресурси трябва да са достатъчни за обработка на по-голям обем заявки. Разбира се, съкращаването струва пари. Вие плащате за сървърни и мрежови ресурси, които обикновено не се използват при нормални условия. И със значителен „резерв“ от мощност, този подход едва ли ще бъде ефективен.

  • Активирането на DNS Response Rate Limiting (RRL) ще намали вероятността сървърът да бъде въвлечен в DDoS Reflection атака, като намали скоростта, с която отговаря на повтарящи се заявки. RRL се поддържат от много реализации на DNS.

  • Използвайте конфигурации висока наличност. Можете да се предпазите от DDoS атаки, като разположите DNS услуга на сървър с висока достъпност (HA). Ако един физически сървър се повреди в резултат на атака, DNS услугата може да бъде възстановена на резервен сървър.

    • Най-добрият начин за защита на DNS от DDoS атаки е използването на географски разпределена мрежа Anycast. Разпределените DNS мрежи могат да бъдат реализирани с помощта на две различни подходи: Unicast или Anycast адресиране. Първият подход е много по-лесен за изпълнение, но вторият е много по-устойчив на DDoS атаки.

    В случай на Unicast, всеки от DNS сървъривашата компания получава уникален IP адрес. DNS поддържа таблица с DNS сървърите на вашия домейн и съответните им IP адреси. Когато потребител въведе URL, един от IP адресите се избира произволно, за да завърши заявката.

    Със схемата за адресиране Anycast различни DNS сървъри споделят общ IP адрес. Когато потребител въведе URL, се връща общият адрес на DNS сървърите. IP мрежата насочва заявката към най-близкия сървър.

    Anycast предоставя фундаментални предимства в сигурността пред Unicast. Unicast предоставя индивидуални IP адреси на сървъри, така че нападателите да могат да стартират целенасочени атаки върху конкретни физически сървъри и виртуални машини, и когато ресурсите на тази система са изчерпани, възниква грешка в услугата. Anycast може да помогне за смекчаване на DDoS атаките чрез разпределяне на заявки в група сървъри. Anycast също е полезен за изолиране на ефектите от атака.

    Осигурена от доставчика DDoS защита

    Проектирането, внедряването и експлоатацията на глобална мрежа Anycast изисква време, пари и ноу-хау. Повечето ИТ организации нямат талант или финанси да направят това. Можете да поверите вашата DNS инфраструктура на управляван доставчик на услуги, който е специализиран в DNS. Те имат необходими знанияза защита на DNS от DDoS атаки.

    Доставчиците на управлявани DNS услуги управляват широкомащабни мрежи Anycast и имат точки на присъствие по целия свят. Експертите по мрежова сигурност наблюдават мрежата 24/7/365 и кандидатстват специални средстваза смекчаване на ефектите от DDoS атаки.


    Някои хостинг доставчици също предлагат услуги: анализът на мрежовия трафик се извършва 24/7, така че вашият сайт ще бъде относително безопасен. Такава защита може да издържи на мощни атаки - до 1500 Gbit/sec. Трафикът се заплаща.

    Друг вариант е защитата на IP адреса. Доставчикът поставя IP адреса, който клиентът е избрал като защитен, в специален мрежов анализатор. По време на атака трафикът към клиента се съпоставя с известни модели на атака. В резултат на това клиентът получава само чист, филтриран трафик. По този начин потребителите на сайта може да не знаят, че срещу тях е извършена атака. За да се организира това, се създава разпределена мрежа от филтриращи възли, така че за всяка атака да може да бъде избран най-близкият възел и забавянето на предаването на трафика да бъде сведено до минимум.

    Резултатът от използването на услуги за защита от DDoS атаки ще бъде своевременно откриване и предотвратяване на DDoS атаки, непрекъснатост на работата на сайта и постоянната му достъпност за потребителите, минимизиране на финансови и репутационни загуби от прекъсване на сайта или портала.

    DoS и DDoS атаката е агресивно външно въздействие върху изчислителните ресурси на сървъра или работна станция, извършено с цел довеждане на последния до провал. Под повреда имаме предвид не физическата повреда на дадена машина, а недостъпността на нейните ресурси за добросъвестни потребители – отказът на системата да ги обслужва ( гентусиазъм о f С ervice, от което идва съкращението DoS).

    Ако такава атака се извършва от един компютър, тя се класифицира като DoS (DoS), ако от няколко - DDoS (DiDoS или DDoS), което означава „Дразпределени гентусиазъм о f С ervice" - разпределен отказ от услуга. След това ще говорим защо нападателите извършват такива атаки, какви са те, каква вреда причиняват на атакуваните и как последните могат да защитят своите ресурси.

    Кой може да пострада от DoS и DDoS атаки?

    Атакувани са корпоративни сървъри на предприятия и уебсайтове, много по-рядко – персонални компютри лица. Целта на подобни действия, като правило, е една - да нанесе икономическа вреда на атакуваното лице и да остане в сянка. В някои случаи DoS и DDoS атаките са един от етапите на хакването на сървъра и са насочени към кражба или унищожаване на информация. Всъщност компания или уебсайт, принадлежащ на всеки, може да стане жертва на нападатели.

    Диаграма, илюстрираща същността на DDoS атака:

    DoS и DDoS атаките най-често се извършват по инициатива на нечестни конкуренти. Така че, като „разбиете“ уебсайта на онлайн магазин, който предлага подобен продукт, можете временно да станете „монополист“ и да вземете клиентите му за себе си. Като „свалите“ корпоративен сървър, можете да нарушите работата на конкурентна компания и по този начин да намалите нейната позиция на пазара.

    Мащабните атаки, които могат да причинят значителни щети, обикновено се извършват от професионални киберпрестъпници срещу много пари. Но не винаги. Вашите ресурси могат да бъдат атакувани от домашни хакери аматьори от интерес, отмъстители сред уволнените служители и просто тези, които не споделят вашите възгледи за живота.

    Понякога въздействието се извършва с цел изнудване, докато нападателят открито иска пари от собственика на ресурса, за да спре атаката.

    Към сървъри на държавни компании и известни организациичесто атакуват анонимни групивисококвалифицирани хакери с цел да повлияят на длъжностни лица или да предизвикат обществен отзвук.

    Как се извършват атаките

    Принципът на действие на DoS и DDoS атаките е изпращането на голям поток от информация към сървъра, който максимално (доколкото позволяват възможностите на хакера) натоварва изчислителните ресурси на процесора, RAM, задръства комуникационните канали или запълва дисковото пространство . Атакуваната машина не може да обработва входящи данни и спира да отговаря на потребителски заявки.

    Ето как изглежда нормалната работа на сървъра, визуализирана в програмата Logstalgia:

    Ефективността на единичните DOS атаки не е много висока. Освен това атака от персонален компютър излага нападателя на риска да бъде идентифициран и заловен. Разпределените атаки (DDoS), извършвани от така наречените зомби мрежи или ботнети, осигуряват много по-голяма печалба.

    Ето как уебсайтът Norse-corp.com показва активността на ботнета:

    Зомби мрежа (ботнет) е група от компютри, които нямат физическа връзкапомежду си. Общото между тях е, че всички са под контрола на нападател. Контролът се осъществява чрез троянска програма, която за момента може да не се прояви по никакъв начин. При извършване на атака хакерът инструктира заразените компютри да изпращат заявки към уебсайта или сървъра на жертвата. И той, не издържайки на напрежението, спира да отговаря.

    Ето как Logstalgia показва DDoS атака:

    Абсолютно всеки компютър може да се присъедини към ботнет. И дори смартфон. Достатъчно е да хванете троянски кон и да не бъдете открит навреме. Между другото, най-големият ботнет се състоеше от почти 2 милиона машини по целия свят, а собствениците им нямаха представа какво правят.

    Методи за атака и защита

    Преди да започне атака, хакерът измисля как да я извърши с максимален ефект. Ако атакуваният възел има няколко уязвимости, въздействието може да се извърши в различни посоки, което значително ще усложни противодействието. Ето защо е важно за всеки администратор на сървъра да проучи всички свои „тесни места“ и, ако е възможно, да ги засили.

    наводнение

    Наводнение, говорене на прост език, това е информация, която не носи никакво семантично натоварване. В контекста на DoS/DDoS атаките, наводнението е лавина от празни, безсмислени заявки от едно или друго ниво, които получаващият възел е принуден да обработи.

    Основната цел на използването на наводняване е пълното запушване на комуникационните канали и максимално насищане на честотната лента.

    Видове наводнения:

    • MAC flood - въздействие върху мрежовите комуникатори (блокиране на портове с потоци от данни).
    • ICMP наводняване - заливане на жертва с ехо заявки за услуга, използвайки зомби мрежа или изпращане на заявки „от името на“ атакувания възел, така че всички членове на ботнета едновременно да му изпратят ехо отговор (Smurf атака). Специален случай на ICMP flood е ping flood (изпращане на ping заявки към сървъра).
    • SYN наводнение - изпращане на множество SYN заявки към жертвата, препълване на опашката за TCP връзка чрез създаване на голям брой полуотворени (чакащи потвърждение от клиента) връзки.
    • UDP flood - работи според схемата за Smurf атака, където се изпращат UDP дейтаграми вместо ICMP пакети.
    • HTTP flood - наводняване на сървъра с множество HTTP съобщения. По-сложна опция е HTTPS flooding, където изпратените данни са предварително криптирани и преди атакуваният възел да ги обработи, той трябва да ги дешифрира.


    Как да се предпазите от наводнение

    • Конфигурирайте мрежови комутатори за проверка на валидността и филтриране на MAC адреси.
    • Ограничете или забранете обработката на ICMP ехо заявки.
    • Блокирайте пакети, идващи от конкретен адрес или домейн, който дава основание да се подозира, че е ненадежден.
    • Задайте ограничение за броя на полуотворените връзки с един адрес, намалете времето им на задържане и удължете опашката от TCP връзки.
    • Деактивирайте UDP услугите да получават трафик отвън или ограничете броя на UDP връзките.
    • Използвайте CAPTCHA, закъснения и други техники за защита от ботове.
    • Увеличете максимално количество HTTP връзки, конфигуриране на кеширане на заявки с помощта на nginx.
    • Разширяване пропускателна способностмрежов канал.
    • Ако е възможно, отделете отделен сървър за обработка на криптография (ако се използва).
    • Създайте резервен канал за административен достъп до сървъра при извънредни ситуации.

    Хардуерно претоварване

    Има видове flooding, които засягат не комуникационния канал, а хардуерните ресурси на атакувания компютър, като ги зареждат до пълния им капацитет и причиняват замръзване или срив. Например:

    • Създаване на скрипт, който ще публикува във форум или уебсайт, където потребителите имат възможност да оставят коментари, огромно количество безсмислени текстова информациядокато не се запълни цялото дисково пространство.
    • Същото нещо, само регистрационните файлове на сървъра ще запълнят устройството.
    • Зареждане на сайт, където се извършва някаква трансформация на въведените данни, непрекъсната обработка на тези данни (изпращане на т.нар. „тежки” пакети).
    • Зареждане на процесора или паметта чрез изпълнение на код през CGI интерфейса (CGI поддръжката ви позволява да стартирате всяка външна програма на сървъра).
    • Задействане на системата за сигурност, правене на сървъра недостъпен отвън и др.


    Как да се предпазите от претоварване на хардуерните ресурси

    • Увеличете производителността и обема на оборудването дисково пространство. Когато сървърът работи нормално, поне 25-30% от ресурсите трябва да останат свободни.
    • Използвайте системи за анализ и филтриране на трафика, преди да го предадете на сървъра.
    • Ограничете използването на хардуерни ресурси от системните компоненти (задайте квоти).
    • Съхранявайте регистрационните файлове на сървъра на отделно устройство.
    • Разпределете ресурсите между няколко независими един от друг сървъра. Така че ако една част откаже, другите остават работещи.

    Уязвимости в операционни системи, софтуер, фърмуер на устройството

    Има неизмеримо повече възможности за извършване на този тип атака от използването на наводняване. Изпълнението им зависи от квалификацията и опита на атакуващия, способността му да намира грешки в програмния код и да ги използва в своя полза и в ущърб на собственика на ресурса.

    След като хакер открие уязвимост (грешка в софтуера, която може да се използва за прекъсване на работата на системата), всичко, което трябва да направи, е да създаде и стартира експлойт - програма, която използва тази уязвимост.

    Използването на уязвимости не винаги има за цел да причини само отказ на услуга. Ако хакерът има късмет, той ще може да получи контрол над ресурса и да използва този „подарък на съдбата“ по свое усмотрение. Например, използвайте за разпространение зловреден софтуер, крадат и унищожават информация и др.

    Методи за противодействие на използването на софтуерни уязвимости

    • Навреме инсталирайте актуализации, които покриват уязвимости на операционни системи и приложения.
    • Изолирайте всички услуги, предназначени за решаване на административни задачи от достъп на трети страни.
    • Използвайте средства за непрекъснат мониторинг на работата на сървърната операционна система и програми (анализ на поведението и др.).
    • Откажете потенциално уязвими програми (безплатни, написани от вас, рядко актуализирани) в полза на доказани и добре защитени.
    • Използвайте готови средства за защита на системите от DoS и DDoS атаки, които съществуват както под формата на хардуерни, така и на софтуерни системи.

    Как да определите, че даден ресурс е бил атакуван от хакер

    Ако нападателят успее да постигне целта, е невъзможно да не забележите атаката, но в някои случаи администраторът не може да определи кога точно е започнала. Това означава, че понякога минават няколко часа от началото на атаката до забележими симптоми. Въпреки това, по време на скрито влияние (докато сървърът падне), някои признаци също са налице. Например:

    • Неестествено поведение на сървърни приложения или операционна система(увисване, изключване с грешки и т.н.).
    • натоварване на процесора, RAMи натрупването нараства рязко спрямо първоначалното ниво.
    • Обемът на трафика на едно или повече пристанища се увеличава значително.
    • Има множество заявки от клиенти към едни и същи ресурси (отваряне на една и съща страница на уебсайт, изтегляне на един и същи файл).
    • Анализ на сървърни регистрационни файлове, защитна стена и мрежови устройствапоказва голям брой монотонни заявки от различни адреси, често насочени към конкретно пристанищеили услуга. Особено, ако сайтът е насочен към тясна аудитория (например рускоезични) и заявките идват от цял ​​свят. Качественият анализ на трафика показва, че заявките нямат практическо значение за клиентите.

    Всичко изброено по-горе не е 100% признак за нападение, но винаги е причина да обърнете внимание на проблема и да вземете подходящи предпазни мерки.

    Заглавие: Имам съвет!
    Споделете