Android. Sistem de operare. Multimedia. Rețelele de socializare. Instrumente. Codec-uri. Arte grafice
Ești aici: » »

Atacul DDoS - ce este? Program de atac DDoS. FSB a deschis un dosar penal privind un atac masiv DDoS asupra băncilor rusești. Cum să te protejezi de inundații

Un atac în timpul căruia utilizatorii nu pot accesa anumite resurse se numește atac DDoS sau problemă de refuzare a serviciului. Principala caracteristică a unor astfel de atacuri de hacker este solicitările simultane de la un număr mare de computere din întreaga lume și sunt direcționate în principal către serverele companiilor bine protejate sau organizațiilor guvernamentale și mai rar către resurse individuale necomerciale.

Un computer care a fost infectat devine un fel de „zombi”, iar hackerii, folosind câteva sute sau chiar zeci de mii de astfel de „zombi”, provoacă o defecțiune a resurselor (negarea serviciului).

Pot exista multe motive pentru atacurile DDoS. Să încercăm să le identificăm pe cele mai populare și, în același timp, să răspundem la întrebările: „Atacul DDoS - ce este, cum să te protejezi, care sunt consecințele sale și prin ce mijloace se realizează?”

Competiție

Internetul a fost mult timp o sursă de idei de afaceri, implementare de proiecte mari și alte modalități de a câștiga destul de mulți bani, astfel încât un atac DDoS poate fi efectuat la comandă. Adică, dacă o organizație, atunci când apare un concurent, dorește să o elimine, atunci se poate adresa pur și simplu la un hacker (sau la un grup dintre ei) cu o sarcină simplă - să paralizeze munca unei companii nedorite prin resursele de internet (DDoS). atac asupra unui server sau site web).

În funcție de scopurile și obiectivele specifice, un astfel de atac se stabilește pentru o anumită perioadă și cu utilizarea forței adecvate.

Fraudă

Destul de des, un atac DDoS asupra unui site web este organizat la inițiativa hackerilor pentru a bloca sistemul și a obține acces la date personale sau alte date importante. După ce atacatorii paralizează sistemul, pot cere o anumită sumă de bani pentru a restabili funcționalitatea resurselor atacate.

Mulți antreprenori de pe Internet sunt de acord cu condițiile propuse, justificându-și acțiunile prin perioadele de nefuncționare a muncii lor și prin pierderi colosale - este mai ușor să plătești o sumă mică unui escroc decât să pierzi profituri semnificative pentru fiecare zi de nefuncționare.

Divertisment

Mulți utilizatori, doar din curiozitate sau distracție, sunt interesați de: „Atacul DDoS - ce este și cum se face?” Prin urmare, există adesea cazuri în care atacatorii începători, pentru distracție și un test de forță, organizează astfel de atacuri asupra resurselor aleatorii.

Alături de motive, atacurile DDoS au propriile lor caracteristici de clasificare.

  1. Lățimi de bandă. Astăzi, aproape fiecare computer este echipat cu oricare retea locala, sau pur și simplu conectat la Internet. Prin urmare, există cazuri frecvente de inundare a rețelei - un număr mare de solicitări cu un sistem incorect format și lipsit de sens către resurse sau echipamente specifice, în scopul defecțiunii sau defecțiunii sale ulterioare hard disk-uri, memorie etc.).
  2. Epuizarea sistemului. Acest atac DDoS asupra serverului Samp este efectuat pentru a captura memorie fizică, timpul CPU și alte resurse de sistem, din cauza lipsei cărora obiectul atacat pur și simplu nu poate funcționa pe deplin.
  3. Buclă. Verificarea nesfârșită a datelor și alte bucle care funcționează în cerc forțează obiectul să risipească o mulțime de resurse, obținând astfel memoria până când este complet epuizat.
  4. Atacurile false. Această organizare are ca scop declanșarea falsă a sistemelor de protecție, ceea ce duce în final la blocarea unor resurse.
  5. Protocolul HTTP. Hackerii trimit pachete HTTP de capacitate redusă cu criptare specială, resursa, desigur, nu vede că se lansează un atac DDoS asupra ei, programul server, în timp ce își face treaba, trimite înapoi pachete de capacitate mult mai mare, înfundând astfel victimele. lățime de bandă, ceea ce duce din nou la eșecul serviciilor.
  6. Atacul ștrumfilor. Aceasta este una dintre cele mai periculoase specii. Hackerul trimite victimei un pachet ICMP fals printr-un canal de difuzare, unde adresa victimei este înlocuită cu adresa atacatorului și toate nodurile încep să trimită un răspuns la cererea ping. Acest atac DDoS este un program care vizează utilizarea retea mare, adică o solicitare procesată de 100 de computere va fi amplificată de 100 de ori.
  7. Inundație UDP. Acest tip de atac este oarecum similar cu cel anterior, dar în loc de pachete ICMP, atacatorii folosesc pachete UDP. Esența acestei metode este înlocuirea adresei IP a victimei cu cea a hackerului și încărcarea completă a lățimii de bandă, ceea ce va duce și la o prăbușire a sistemului.
  8. SYN inundație. Atacatorii încearcă să lanseze simultan un număr mare de conexiuni TCP printr-un canal SYN cu o adresă de retur incorectă sau complet lipsă. După mai multe astfel de încercări, majoritatea sistemelor de operare pun în coadă conexiunea problematică și o închid doar după un anumit număr de încercări. Fluxul canalului SYN este destul de mare și, în curând, după multe astfel de încercări, nucleul victimă refuză să deschidă orice conexiune nouă, blocând întreaga rețea.
  9. „Pachete grele”. Acest tip oferă un răspuns la întrebarea: „Ce este un atac DDoS pe un server?” Hackerii trimit pachete către serverul utilizatorului, dar lățimea de bandă nu se saturează, acțiunea vizează doar timpul procesorului. Drept urmare, astfel de pachete duc la o defecțiune a sistemului și, la rândul său, la resursele acestuia.
  10. Fișiere jurnal. Dacă sistemul de cote și rotație are găuri de securitate, atunci atacatorii pot trimite pachete mari, ocupând astfel totul loc liber pe hard disk-uri Server.
  11. Cod program. Hackerii cu experiență vastă pot studia complet structura serverului victimei și pot lansa algoritmi speciali (atac DDoS - program de exploatare). Astfel de atacuri vizează în principal proiecte comerciale bine protejate ale întreprinderilor și organizațiilor din diverse domenii și domenii. Atacatorii găsesc găuri în codul programului și execută instrucțiuni nevalide sau alți algoritmi excepționali care provoacă blocarea sistemului sau a serviciului.

Atacul DDoS: ce este și cum să te protejezi

Există multe metode de protecție împotriva atacurilor DDoS. Și toate pot fi împărțite în patru părți: pasiv, activ, reacționar și preventiv. Despre care vom vorbi mai detaliat mai târziu.

Avertizare

Aici trebuie să prevenim chiar cauzele care ar putea provoca un atac DDoS. Acest tip poate include unele ostilități personale, dezacorduri juridice, concurență și alți factori care provoacă o atenție „creștetă” pentru dvs., afacerea dvs. etc.

Dacă reacționați la acești factori la timp și trageți concluziile adecvate, puteți evita multe situații neplăcute. Această metodă poate fi considerată mai mult o problemă decât o problemă. latura tehnicaîntrebare.

Măsuri de răspuns

Dacă atacurile asupra resurselor dumneavoastră continuă, atunci trebuie să găsiți sursa problemelor dumneavoastră - clientul sau contractantul - folosind atât pârghiile legale, cât și cele tehnice. Unele companii oferă servicii de căutare a intrușilor folosind o metodă tehnică. Pe baza calificărilor specialiștilor implicați în această problemă, este posibil să găsim nu numai hackerul care efectuează atacul DDoS, ci și clientul însuși.

Protecție software

Unii producători de hardware și software, împreună cu produsele lor, pot oferi destul de multe soluții eficiente, iar un atac DDoS asupra unui site va fi oprit din început. Un server mic separat care vizează contracararea atacurilor DDoS mici și mijlocii poate acționa ca un apărător tehnic.

Această soluție este perfectă pentru întreprinderile mici și mijlocii. Pentru mai mult companii mari, întreprinderi și agenții guvernamentale, există sisteme hardware întregi pentru combaterea atacurilor DDoS, care, alături de prețul ridicat, au caracteristici de protecție excelente.

Filtrare

Blocarea și filtrarea cu atenție a traficului de intrare nu numai că va reduce probabilitatea unui atac. În unele cazuri, un atac DDoS asupra serverului poate fi complet exclus.

Există două moduri principale de a filtra traficul - firewall-uri și rutare completă.

Filtrarea folosind liste (ACL) vă permite să filtrați protocoalele neesențiale fără a perturba TCP sau a reduce viteza de acces la resursa protejată. Cu toate acestea, dacă hackerii folosesc rețele bot sau interogări de înaltă frecvență, atunci această metodă va fi ineficientă.

Ele protejează mult mai bine împotriva atacurilor DDoS, dar singurul lor dezavantaj este că sunt destinate doar rețelelor private și necomerciale.

Oglindă

Esența acestei metode este redirecționarea înapoi a întregului trafic de atacatori. Acest lucru se poate face prin a avea servere puternice și specialiști competenți care nu numai că vor redirecționa traficul, dar vor putea și să dezactiveze echipamentul atacatorului.

Metoda nu va funcționa dacă există erori în serviciile de sistem, codurile de program și alte aplicații de rețea.

Căutați vulnerabilități

Acest tip de protecție vizează corectarea exploiturilor, eliminarea erorilor din aplicațiile și sistemele web, precum și alte servicii responsabile de traficul de rețea. Metoda este inutilă împotriva atacurilor de inundații care vizează în mod special aceste vulnerabilități.

Resurse moderne

Această metodă nu poate garanta protecție 100%. Dar vă permite să efectuați mai eficient alte măsuri (sau un set dintre acestea) pentru a preveni atacurile DDoS.

Alocarea sistemului și a resurselor

Duplicarea resurselor și distribuirea sistemelor va permite utilizatorilor să lucreze cu datele dvs., chiar dacă serverul dvs. este supus unui atac DDoS în acel moment. Pentru distribuție, puteți utiliza diverse echipamente de server sau de rețea și, de asemenea, este recomandat să separați fizic serviciile pe diferite sisteme duplicat (centre de date).

Această metodă de protecție este cea mai eficientă astăzi, cu condiția să fi fost creat designul arhitectural corect.

Evaziune

Caracteristica principală a acestei metode este ieșirea și separarea obiectului atacat ( Numele domeniului sau adresa IP), adică toate resursele de lucru situate pe un site trebuie să fie împărțite și localizate pe o terță parte adrese de rețea, sau chiar pe teritoriul altui stat. Acest lucru vă va permite să supraviețuiți oricărui atac și să vă păstrați structura IT internă.

Servicii de protecție împotriva atacurilor DDoS

După ce am povestit totul despre un astfel de flagel precum un atac DDoS (ce este și cum să-i facem față), putem în sfârșit să oferim unul sfat bun. Multe organizații mari își oferă serviciile pentru a preveni și preveni astfel de atacuri. Practic, astfel de companii folosesc o întreagă gamă de măsuri și diverse mecanisme pentru a vă proteja afacerea de majoritatea atacurilor DDoS. Aceștia angajează specialiști și experți în domeniul lor, așa că dacă resursa ta este dragă, atunci cea mai bună opțiune (deși nu ieftină) ar fi să contactezi una dintre aceste companii.

Cum să efectuați singur un atac DDoS

Conștientul este antebrat - un principiu adevărat. Dar amintiți-vă că organizarea în mod deliberat a unui atac DDoS de către un individ sau un grup de persoane este o infracțiune, așa că acest material este furnizat doar în scop informativ.

Experții americani în prevenirea amenințărilor IT au dezvoltat un program pentru a testa rezistența la încărcarea serverului și posibilitatea ca atacatorii să efectueze atacuri DDoS și apoi să elimine acest atac.

Desigur, mințile „fierbinte” au întors această armă împotriva dezvoltatorilor înșiși și împotriva a ceea ce luptau. Numele de cod al produsului este LOIC. Acest program este disponibil gratuit și, în principiu, nu este interzis de lege.

Interfața și funcționalitatea programului sunt destul de simple; oricine este interesat de un atac DDoS îl poate folosi.

Cum să faci totul singur? În liniile de interfață, introduceți doar victimele IP, apoi setați fluxurile TCP și UDP și numărul de solicitări. Voila – după ce a apăsat butonul râvnit, a început atacul!

Desigur, orice resurse serioase nu vor fi afectate de acest software, dar cele mici pot întâmpina unele probleme.

Această organizație, pe lângă înregistrarea numelor de domenii în zona .tr, oferă și comunicații de bază către universitățile turcești. Hacktiviști anonimi au revendicat atacul, acuzând conducerea turcă că sprijină ISIS.

Primele semne de DDoS au apărut în dimineața zilei de 14 decembrie; până la prânz, cinci servere NIC.tr s-au prăbușit sub atacul traficului nedorit cu o capacitate de până la 40 Gbps. Problema a afectat și centrul de coordonare RIPE, care oferă o infrastructură alternativă NS NIC.tr. Reprezentanții RIPE au remarcat că atacul a fost modificat în așa fel încât să ocolească măsurile de securitate ale RIPE.

Atacurile DDoS la scară largă devin cea mai eficientă modalitate de a perturba serviciile web - costul atacurilor este în scădere constantă, ceea ce permite o putere sporită: în doar doi ani, puterea medie a unui atac DDoS s-a dublat de patru ori la 8 Gbps. Comparativ cu valorile medii, atacul asupra zonei de domeniu național a Turciei arată impresionant, dar experții subliniază că atacurile DDoS la nivelul de 400 Gbps vor deveni în curând norma.

Unicitatea atacului turc este că atacatorii au ales ținta potrivită: concentrându-se pe un număr relativ mic de adrese IP, au reușit să distrugă practic infrastructura unei țări întregi cu doar un atac de 40 de gigabiți.

turc centru national răspunsul la incidente cibernetice a blocat tot traficul care venea către serverele NIC.tr din alte țări, motiv pentru care toate cele 400 de mii de site-uri turcești au devenit inaccesibile, iar toate mesajele E-mail returnate expeditorilor. Ulterior, centrul a decis să schimbe tactica, blocând selectiv adresele IP suspecte. Serverele DNS pentru domeniile din zona .tr au fost reconfigurate pentru a distribui cererile între serverele publice și private, cu ajutorul furnizorilor de internet turci Superonline și Vodafone.

Domeniile atacate au revenit online în aceeași zi, dar multe site-uri și servicii poștale Au mai lucrat câteva zile cu intermitență. Nu doar companiile locale și organizațiile guvernamentale au fost afectate, ci și multe resurse web naționale care au ales un nume de domeniu în zona .tr; în total, este vorba de aproximativ 400 de mii de site-uri web, dintre care 75% sunt corporative. Se folosește și domeniul național turc institutii de invatamant, municipalități și militari.

Până când „anonim” a făcut o declarație, mulți i-au acuzat pe ruși pentru atacul DDoS - din cauza relațiilor tensionate dintre Turcia și Rusia. La un moment dat, din motive similare, hackerii ruși au fost suspectați de implicare în atacuri cibernetice la scară largă asupra Estoniei (2007), Georgiei (2008) și Ucrainei (2014). Unii experți au considerat că DDoS turcesc este răspunsul rușilor la un atac DDoS al unor grupuri cibernetice turce pe site-ul rus de știri Sputnik.

Declarația Anonymous a lipsit de orice bază ipoteza unei „urme rusești”. Hacktiviștii amenință, de asemenea, că vor ataca aeroporturile turcești, băncile, serverele guvernamentale și organizațiile militare dacă Turcia nu încetează să ajute ISIS.

Cine este atacat?

Potrivit Băncii Centrale, în 2016 numărul instituțiilor financiare rusești aproape sa dublat. În noiembrie, atacurile DDoS au vizat cinci bănci mari rusești. La sfârșitul anului trecut, Banca Centrală a raportat atacuri DDoS asupra organizațiilor financiare, inclusiv a Băncii Centrale. „Scopul atacurilor a fost de a perturba serviciile și, ca urmare, de a submina încrederea în aceste organizații. Aceste atacuri au fost notabile deoarece a fost prima utilizare pe scară largă a Internet-ului obiectelor în Rusia. Atacul a implicat în principal camere video pe internet și routere casnice”, au remarcat serviciile de securitate ale marilor bănci.

În același timp, atacurile DDoS nu au cauzat daune semnificative băncilor - sunt bine protejate, astfel încât astfel de atacuri, deși au cauzat probleme, nu au fost critice și nu au întrerupt niciun serviciu. Cu toate acestea, se poate afirma că activitatea anti-bancară a hackerilor a crescut semnificativ.

În februarie 2017 servicii tehnice Ministerul rus al Sănătății a respins cel mai mare atac DDoS din ultimii ani, care la apogeu a atins 4 milioane de solicitări pe minut. Au existat și atacuri DDoS registrele de stat, dar și ele nu au avut succes și nu au dus la nicio modificare a datelor.

Cu toate acestea, numeroase organizații și companii care nu au „apărări” atât de puternice devin victime ale atacurilor DDoS. În 2017, este de așteptat să crească daunele cauzate de amenințările cibernetice – ransomware, DDoS și atacuri asupra dispozitivelor Internet of Things.


Dispozitivele IoT devin din ce în ce mai populare ca instrumente pentru efectuarea atacurilor DDoS. Un eveniment semnificativ a fost atacul DDoS lansat în septembrie 2016 folosind cod rău intenționat Mirai. În el, sute de mii de camere și alte dispozitive din sistemele de supraveghere video au acționat ca mijloace de atac.

A fost efectuată împotriva furnizorului francez de găzduire OVH. A fost un atac DDoS puternic - aproape 1 Tbit/s. Hackerii au folosit un botnet pentru a exploata 150 de mii de dispozitive IoT, majoritatea camere CCTV. Atacurile botnet Mirai au dat naștere la multe botnet-uri de dispozitive IoT. Potrivit experților, în 2017, rețelele botnet IoT vor continua să fie una dintre principalele amenințări în spațiul cibernetic.


Conform raportului Verizon privind incidentele de încălcare a datelor (DBIR) din 2016, numărul atacurilor DDoS a crescut considerabil anul trecut. În lume, industria divertismentului, organizațiile profesionale, educația, IT și comerțul cu amănuntul suferă cel mai mult.

O tendință notabilă în atacurile DDoS este extinderea „listei victimelor”. Acum include reprezentanți din aproape toate industriile. În plus, metodele de atac sunt îmbunătățite.
Potrivit Nexusguard, la sfârșitul anului 2016, numărul atacurilor DDoS de tip mixt - folosind mai multe vulnerabilități simultan - a crescut considerabil. Cel mai adesea, organizațiile financiare și guvernamentale au fost supuse acestora. Motivul principal al infractorilor cibernetici (70% din cazuri) este furtul de date sau amenințarea cu distrugerea acestora pentru răscumpărare. Mai rar – scopuri politice sau sociale. De aceea este importantă o strategie de apărare. Se poate pregăti pentru un atac și poate minimiza consecințele acestuia, reducând riscurile financiare și reputaționale.

Consecințele atacurilor

Care sunt consecințele unui atac DDoS? În timpul atacului, victima pierde clienți din cauza muncă lentă sau inaccesibilitatea completă a site-ului, reputația afacerii are de suferit. Furnizorul de servicii poate bloca adresa IP a victimei pentru a minimiza daunele aduse altor clienți. Va dura timp și, eventual, bani pentru a restabili totul.
Potrivit sondajului companiei, atacurile DDoS sunt considerate de jumătate dintre organizații drept una dintre cele mai grave amenințări cibernetice. Pericolul DDoS este chiar mai mare decât pericolul accesului neautorizat, virușilor, fraudei și phishingului, ca să nu mai vorbim de alte amenințări.

Pierderile medii din atacurile DDoS sunt estimate la nivel global la 50.000 USD pentru organizațiile mici și aproape 500.000 USD pentru întreprinderile mari. Eliminarea consecințelor unui atac DDoS va necesita timp suplimentar de personal, deturnarea resurselor de la alte proiecte pentru a asigura securitatea, dezvoltarea unui plan de actualizare software, modernizarea echipamentelor etc.


Reputația organizației atacate poate avea de suferit nu numai din cauza munca proasta site-ului, dar și din cauza furtului de date personale sau informații financiare.
Potrivit unui sondaj al companiei, numărul atacurilor DDoS crește anual cu 200%; 2 mii de atacuri de acest tip sunt raportate în fiecare zi în lume. Costul organizării unui atac DDoS de o săptămână este de numai aproximativ 150 USD, iar pierderile victimei în medie depășesc 40.000 USD pe oră.

Tipuri de atacuri DDoS

Principalele tipuri de atacuri DDoS sunt atacurile masive, atacurile la nivel de protocol și atacurile la nivel de aplicație. În orice caz, scopul este de a dezactiva site-ul sau de a fura date. Un alt tip de infracțiune cibernetică este amenințarea unui atac DDoS pentru a obține o răscumpărare. Grupuri de hackeri precum Armada Collective, Lizard Squad, RedDoor și ezBTC sunt renumite pentru asta.

Organizarea atacurilor DDoS a devenit considerabil mai simplă: acum există instrumente automate disponibile pe scară largă care nu necesită practic cunoștințe speciale din partea infractorilor cibernetici. Există, de asemenea, servicii DDoS plătite pentru atacarea anonimă a țintei. De exemplu, serviciul vDOS își oferă serviciile fără a verifica dacă clientul este proprietarul site-ului care dorește să-l testeze „sub sarcină” sau dacă acest lucru este făcut în scopul unui atac.


Atacurile DDoS sunt atacuri din mai multe surse care împiedică utilizatorii legitimi să acceseze site-ul atacat. Pentru a face acest lucru, un număr mare de solicitări sunt trimise către sistemul atacat, cărora acesta nu le poate face față. De obicei, sistemele compromise sunt utilizate în acest scop.

Creșterea anuală a numărului de atacuri DDoS este estimată la 50% (conform), dar date surse diferite diferă, dar nu toate incidentele devin cunoscute. Puterea medie a atacurilor Layer 3/4 DDoS a crescut în ultimii ani de la 20 la câteva sute de GB/s. Deși atacurile masive DDoS și la nivel de protocol sunt destul de grave în sine, infractorii cibernetici le combină din ce în ce mai mult cu atacurile DDoS de Layer 7, adică la nivel de aplicație, care vizează schimbarea sau furtul datelor. Astfel de atacuri „multi-vectorale” pot fi foarte eficiente.


Atacurile cu mai multe vectori reprezintă aproximativ 27% din numărul total de atacuri DDoS.

În cazul unui atac DDoS în masă (bazat pe volum), se utilizează un număr mare de solicitări, deseori trimise de la adrese IP legitime, astfel încât site-ul să fie „sufocat” în trafic. Scopul unor astfel de atacuri este de a „înfunda” toată lățimea de bandă disponibilă și de a bloca traficul legitim.

În cazul unui atac la nivel de protocol (cum ar fi UDP sau ICMP), scopul este de a epuiza resursele sistemului. Pentru a face acest lucru, se trimit cereri deschise, de exemplu, cereri TCP/IP cu IP-uri false și, ca urmare a epuizării resurselor rețelei, devine imposibilă procesarea cererilor legitime. Reprezentanții tipici sunt atacurile DDoS, cunoscute în cercuri înguste ca Smurf DDos, Ping of Death și SYN flood. Un alt tip de atac DDoS la nivel de protocol implică trimiterea unui număr mare de pachete fragmentate pe care sistemul nu le poate gestiona.

Atacurile DDoS de nivel 7 implică trimiterea de solicitări aparent inofensive care par a fi rezultatul acțiunilor normale ale utilizatorului. De obicei, acestea sunt efectuate folosind rețele botnet și instrumente automate. Exemple notabile sunt Slowloris, Apache Killer, Scripturi între site-uri, injectare SQL, injectare fișier la distanță.

În 2012–2014, majoritatea atacurilor masive DDoS au fost atacuri fără stat (fără a-și aminti stările sau sesiunile de urmărire) - au folosit protocolul UDP. În cazul Stateless, multe pachete circulă într-o singură sesiune (de exemplu, deschiderea unei pagini). Dispozitivele apatride, de regulă, nu știu cine a început sesiunea (a solicitat pagina).

Protocolul UDP este susceptibil de falsificare - înlocuirea adresei. De exemplu, dacă doriți să atacați serverul DNS la 56.26.56.26 folosind un atac de amplificare DNS, puteți crea un set de pachete cu adresa sursă 56.26.56.26 și le puteți trimite către serverele DNS din întreaga lume. Aceste servere vor trimite un răspuns la 56.26.56.26.

Aceeași metodă funcționează pentru servere NTP, dispozitive compatibile cu SSDP. Protocolul NTP este poate cea mai populară metodă: în a doua jumătate a anului 2016, a fost folosită în 97,5% dintre atacurile DDoS.
Regula 38 de Best Current Practice (BCP) recomandă ca ISP-urile să configureze gateway-uri pentru a preveni falsificarea - adresa expeditorului, rețeaua de origine sunt controlate. Dar nu toate țările respectă această practică. În plus, atacatorii ocolesc controalele BCP 38 utilizând atacuri Stateful la nivel TCP. Potrivit Centrului de operațiuni de securitate (SOC) F5, astfel de atacuri au dominat în ultimii cinci ani. În 2016, au existat de două ori mai multe atacuri TCP decât atacurile UDP.

Atacurile de nivel 7 sunt folosite în principal de hackeri profesioniști. Principiul este următorul: o adresă URL „grea” este preluată (cu Fișier PDF sau o interogare la o bază de date mare) și se repetă de zeci sau sute de ori pe secundă. Atacurile de nivel 7 au consecințe grave și sunt greu de detectat. Acum reprezintă aproximativ 10% din atacurile DDoS.


Raportul dintre diferitele tipuri de atacuri DDoS conform Raportului Verizon privind investigațiile privind încălcarea datelor (DBIR) (2016).

Atacurile DDoS sunt adesea programate pentru a coincide cu perioadele de vârf de trafic, de exemplu, zilele de vânzări online. Fluxurile mari de date personale și financiare în acest moment atrag hackeri.

Atacurile DDoS asupra DNS

Sistemul de nume de domeniu (DNS) joacă un rol fundamental în performanța și disponibilitatea unui site web. În cele din urmă - în succesul afacerii tale. Din păcate, infrastructura DNS este adesea ținta atacurilor DDoS. Prin suprimarea infrastructurii dvs. DNS, atacatorii vă pot afecta site-ul web, reputația companiei și vă pot afecta performanța financiară. Pentru a combate amenințările de astăzi, infrastructura DNS trebuie să fie foarte rezistentă și scalabilă.
În esență, DNS este bază distribuită date, care, printre altele, potrivesc nume de site ușor de citit cu adrese IP, ceea ce permite utilizatorului să ajungă la site-ul dorit după introducerea unei adrese URL. Prima interacțiune a unui utilizator cu un site web începe cu interogări DNS trimise către serverul DNS cu adresa domeniului Internet al site-ului dvs. web. Procesarea lor poate reprezenta până la 50% din timpul de încărcare a unei pagini web. Astfel, performanța DNS redusă poate duce la părăsirea site-ului de către utilizatori și la pierderi de afaceri. Dacă serverul dvs. DNS nu mai răspunde ca urmare a unui atac DDoS, atunci nimeni nu va putea accesa site-ul dvs.

Atacurile DDoS sunt greu de detectat, mai ales la început când traficul pare normal. Infrastructura DNS poate fi supusă tipuri variate Atacurile DDoS. Uneori, acesta este un atac direct asupra serverelor DNS. În alte cazuri, exploatările sunt folosite prin utilizarea sistemelor DNS pentru a ataca alte elemente ale infrastructurii sau serviciilor IT.


În atacurile DNS Reflection, ținta este expusă la răspunsuri DNS falsificate masiv. În acest scop, se folosesc rețele bot, care infectează sute și mii de computere. Fiecare bot dintr-o astfel de rețea generează mai multe solicitări DNS, dar folosește aceeași adresă IP țintă ca și IP-ul sursă (spoofing). Serviciul DNS răspunde la această adresă IP.

Acest lucru obține un efect dublu. Sistemul țintă este bombardat cu mii și milioane de răspunsuri DNS, iar serverul DNS se poate defecta, incapabil să facă față sarcinii. Cererea DNS în sine este de obicei mai mică de 50 de octeți, dar răspunsul este de zece ori mai lung. În plus, mesajele DNS pot conține destul de multe alte informații.

Să presupunem că atacatorul a emis 100.000 de solicitări DNS scurte de 50 de octeți (5 MB în total). Dacă fiecare răspuns conține 1 KB, atunci totalul este deja de 100 MB. De aici și numele – Amplificare. Combinația de atacuri DNS Reflection și Amplification poate avea consecințe foarte grave.


Solicitările arată ca un trafic normal, iar răspunsurile sunt multe mesaje mari direcționate către sistemul țintă.

Cum să te protejezi de atacurile DDoS?

Cum să te protejezi de atacurile DDoS, ce pași să faci? În primul rând, nu amânați „pentru mai târziu”. Unele măsuri ar trebui luate în considerare la configurarea rețelei, la rularea serverelor și la implementarea software-ului. Și fiecare modificare ulterioară nu ar trebui să crească vulnerabilitatea la atacurile DDoS.
  • Securitatea codului software. Când scrieți software-ul, trebuie luate în considerare considerentele de securitate. Se recomandă să urmați standardele de „codare securizată” și să testați temeinic software-ul pentru a evita erorile și vulnerabilitățile comune, cum ar fi scriptingul între site-uri și injecția SQL.

  • Elaborați un plan de actualizare software. Ar trebui să existe întotdeauna o opțiune de rollback dacă ceva nu merge bine.

  • Actualizați-vă software-ul prompt. Dacă ați reușit să descărcați actualizările, dar au apărut probleme, consultați punctul 2.

  • Nu uitați de restricțiile de acces. admin și/sau conturile ar trebui protejate cu parole puternice și modificate în mod regulat. De asemenea, este necesar un audit periodic al drepturilor de acces și ștergerea în timp util a conturilor angajaților demiși.

  • Interfața de administrare ar trebui să fie accesibilă numai din rețeaua internă sau prin VPN. Închideți imediat accesul VPN pentru angajații renunțați și, mai ales, concediați.

  • Includeți atenuarea atacurilor DDoS în planul dvs. de recuperare în caz de dezastru. Planul ar trebui să includă modalități de detectare a unui astfel de atac, contacte pentru comunicarea cu furnizorul de internet sau de găzduire și un arbore de „escaladare a problemelor” pentru fiecare departament.

  • Scanarea vulnerabilităților poate ajuta la identificarea problemelor din infrastructura dvs. și software, reduce riscurile. Un simplu test OWASP Top 10 Vulnerability va dezvălui cele mai critice probleme. Testele de penetrare vor fi, de asemenea, utile - vă vor ajuta să găsiți puncte slabe.

  • Protecția hardware împotriva atacurilor DDoS poate fi costisitoare. Dacă bugetul dvs. nu permite acest lucru, atunci există o alternativă bună - protecția DDoS la cerere. Acest serviciu poate fi inclus simpla schimbare scheme de rutare a traficului într-o situație de urgență sau este protejat în mod constant.

  • Utilizați un partener CDN. Rețelele de livrare de conținut vă permit să livrați conținut de site-ul web printr-o rețea distribuită. Traficul este distribuit pe mai multe servere, reducând întârzierea la accesarea utilizatorilor, inclusiv a celor la distanță geografică. Deci, deși principalul beneficiu al unui CDN este viteza, acesta servește și ca o barieră între serverul principal și utilizatori.

  • Utilizați Web Application Firewall - un firewall pentru aplicații web. Monitorizează traficul dintre un site sau aplicație și browser, verificând legitimitatea solicitărilor. Lucrând la nivel de aplicație, WAF poate detecta atacuri pe baza modelelor stocate și poate detecta comportamente neobișnuite. Atacurile la nivel de aplicație sunt frecvente în comerțul electronic. Ca și în cazul CDN, puteți utiliza serviciile WAF în cloud. Cu toate acestea, configurarea regulilor necesită ceva experiență. În mod ideal, toate aplicațiile de bază ar trebui protejate de WAF.

    • Protecție DNS

    Cum să vă protejați infrastructura DNS de atacurile DDoS? Firewall-urile convenționale și IPS nu vor ajuta aici; sunt neputincioși împotriva unui atac DDoS complex asupra DNS. De fapt, firewall-urile și sistemele de prevenire a intruziunilor sunt ele însele vulnerabile la atacurile DDoS.
    Ei pot veni în ajutor servicii cloud curățarea traficului: este trimis la un anumit centru, unde este verificat și redirecționat înapoi la destinație. Aceste servicii sunt utile pentru traficul TCP. Cei care își gestionează propria infrastructură DNS pot lua următorii pași pentru a atenua efectele atacurilor DDoS.
  • Monitorizarea serverelor DNS pentru activități suspecte este primul pas în protejarea infrastructurii DNS. Soluții DNS comerciale și produse open source cod sursa, cum ar fi BIND, oferă statistici în timp real care pot fi folosite pentru a detecta atacurile DDoS. Monitorizarea atacurilor DDoS poate fi o sarcină care necesită mult resurse. Cel mai bine este să creați un profil de bază al infrastructurii în condiții normale de funcționare și apoi să îl actualizați din când în când pe măsură ce infrastructura evoluează și modelele de trafic se schimbă.

  • Resursele suplimentare de server DNS pot ajuta la combaterea atacurilor la scară mică, oferind redundanță infrastructurii DNS. Resursele de server și de rețea ar trebui să fie suficiente pentru a gestiona un volum mai mare de solicitări. Desigur, concedierea costă bani. Plătiți pentru resurse de server și de rețea care nu sunt utilizate în mod normal în condiții normale. Și cu o „rezervă” semnificativă de putere, este puțin probabil ca această abordare să fie eficientă.

  • Activarea DNS Response Rate Limiting (RRL) va reduce probabilitatea ca serverul să fie implicat într-un atac DDoS Reflection prin reducerea vitezei cu care răspunde la solicitările repetate. RRL-urile sunt acceptate de multe implementări DNS.

  • Utilizați configurații de înaltă disponibilitate. Vă puteți proteja împotriva atacurilor DDoS prin implementarea serviciului DNS pe un server de înaltă disponibilitate (HA). Dacă un server fizic se defectează ca urmare a unui atac, serviciul DNS poate fi restaurat pe un server de rezervă.

    • Cel mai bun mod de a vă proteja DNS-ul de atacurile DDoS este să utilizați o rețea Anycast distribuită geografic. Rețelele DNS distribuite pot fi implementate folosind două abordări diferite: Adresare Unicast sau Anycast. Prima abordare este mult mai ușor de implementat, dar a doua este mult mai rezistentă la atacurile DDoS.

    În cazul Unicast, fiecare dintre servere DNS compania dvs. primește o adresă IP unică. DNS menține un tabel cu serverele DNS ale domeniului dvs. și adresele IP corespunzătoare. Când un utilizator introduce o adresă URL, una dintre adresele IP este selectată aleatoriu pentru a finaliza solicitarea.

    Cu schema de adresare Anycast, diferite servere DNS au o adresă IP comună. Când un utilizator introduce o adresă URL, este returnată adresa colectivă a serverelor DNS. Rețeaua IP direcționează cererea către cel mai apropiat server.

    Anycast oferă avantaje fundamentale de securitate față de Unicast. Unicast oferă adrese IP de server individuale, astfel încât atacatorii să poată lansa atacuri direcționate împotriva anumitor servere fizice și mașini virtuale, iar când resursele acestui sistem sunt epuizate, are loc o defecțiune a serviciului. Anycast poate ajuta la atenuarea atacurilor DDoS prin distribuirea cererilor pe un grup de servere. Anycast este util și pentru izolarea efectelor unui atac.

    Protecție DDoS oferită de furnizor

    Proiectarea, implementarea și operarea unei rețele globale Anycast necesită timp, bani și know-how. Majoritatea organizațiilor IT nu au talentul sau finanțele necesare pentru a face acest lucru. Puteți încrede în infrastructura dvs. DNS unui furnizor de servicii gestionate care este specializat în DNS. Ei au cunoștințe necesare pentru a proteja DNS-ul de atacurile DDoS.

    Furnizorii de servicii DNS gestionați operează rețele Anycast pe scară largă și au puncte de prezență în întreaga lume. Experții în securitatea rețelei monitorizează rețeaua 24/7/365 și aplică mijloace speciale pentru a atenua efectele atacurilor DDoS.


    Unii furnizori de hosting oferă și servicii: analiza traficului în rețea se efectuează 24/7, astfel încât site-ul tău va fi relativ sigur. O astfel de protecție poate rezista la atacuri puternice - până la 1500 Gbit/sec. Traficul este plătit.

    O altă opțiune este protecția adresei IP. Furnizorul plasează adresa IP pe care clientul a ales-o ca fiind protejată într-un analizor de rețea special. În timpul unui atac, traficul către client este corelat cu modelele de atac cunoscute. Ca urmare, clientul primește doar trafic curat, filtrat. Astfel, este posibil ca utilizatorii site-ului să nu știe că a fost lansat un atac împotriva lor. Pentru a organiza acest lucru, se creează o rețea distribuită de noduri de filtrare, astfel încât pentru fiecare atac să poată fi selectat cel mai apropiat nod și întârzierea transmisiei traficului să fie minimizată.

    Rezultatul utilizării serviciilor de protecție împotriva atacurilor DDoS va fi detectarea și prevenirea în timp util a atacurilor DDoS, continuitatea funcționării site-ului și disponibilitatea constantă a acestuia pentru utilizatori, minimizarea pierderilor financiare și de reputație din timpul nefuncționării site-ului sau portalului.

    Atacul DoS și DDoS este un impact extern agresiv asupra resurselor de calcul ale serverului sau stație de lucru, realizată cu scopul de a-l duce la eșec. Prin eșec înțelegem nu defecțiunea fizică a unei mașini, ci inaccesibilitatea resurselor acesteia pentru utilizatorii de bună credință - refuzul sistemului de a le deservi ( D enial o f S ervice, din care provine abrevierea DoS).

    Dacă un astfel de atac este efectuat de pe un singur computer, acesta este clasificat ca DoS (DoS), dacă din mai multe - DDoS (DiDoS sau DDoS), ceea ce înseamnă „D repartizat D enial o f S ervice" - refuzul de serviciu distribuit. În continuare, vom vorbi despre motivul pentru care atacatorii efectuează astfel de atacuri, ce sunt, ce prejudicii provoacă atacatorilor și cum aceștia din urmă își pot proteja resursele.

    Cine poate suferi de atacuri DoS și DDoS?

    Serverele corporative ale întreprinderilor și site-urile web sunt atacate, mult mai rar - computerele personale indivizii. Scopul unor astfel de acțiuni, de regulă, este unul - acela de a provoca un prejudiciu economic persoanei atacate și de a rămâne în umbră. În unele cazuri, atacurile DoS și DDoS reprezintă una dintre etapele hackingului de server și au ca scop furtul sau distrugerea informațiilor. De fapt, o companie sau un site web aparținând oricui poate deveni o victimă a atacatorilor.

    O diagramă care ilustrează esența unui atac DDoS:

    Atacurile DoS și DDoS sunt cel mai adesea efectuate la instigarea concurenților necinstiți. Astfel, prin „crashing” site-ul unui magazin online care oferă un produs similar, poți deveni temporar un „monopol” și să-i iei clienții pentru tine. Prin „înlăturarea” unui server corporativ, puteți perturba activitatea unei companii concurente și, prin urmare, îi puteți reduce poziția pe piață.

    Atacurile la scară largă care pot provoca daune semnificative sunt de obicei efectuate de infractorii cibernetici profesioniști pentru o mulțime de bani. Dar nu in totdeauna. Resursele tale pot fi atacate de hackeri amatori de acasă din interes, răzbunătorii dintre angajații concediați și pur și simplu cei care nu împărtășesc părerile tale despre viață.

    Uneori, impactul este efectuat în scopul extorcării, în timp ce atacatorul cere în mod deschis bani de la proprietarul resursei pentru a opri atacul.

    Serverele companiilor de stat și ale organizațiilor cunoscute sunt adesea atacate grupuri anonime hackeri foarte calificați cu scopul de a influența oficialii sau de a provoca proteste publice.

    Cum se desfășoară atacurile

    Principiul de funcționare al atacurilor DoS și DDoS este trimiterea unui flux mare de informații către server, care la maximum (în măsura posibilităților hackerului) încarcă resursele de calcul ale procesorului, RAM, înfunda canalele de comunicare sau umple spațiul pe disc. . Mașina atacată nu poate procesa datele primite și nu mai răspunde la solicitările utilizatorilor.

    Iată cum arată funcționarea normală a serverului, vizualizată în programul Logstalgia:

    Eficacitatea atacurilor unice DOS nu este foarte mare. În plus, un atac de la un computer personal expune atacatorul riscului de a fi identificat și prins. Atacurile distribuite (DDoS) efectuate din așa-numitele rețele zombie sau botnet oferă un profit mult mai mare.

    Așa afișează site-ul Norse-corp.com activitatea rețelei bot:

    O rețea zombie (botnet) este un grup de computere care nu au conexiune fizicăîntre ei. Ceea ce au în comun este că toți sunt sub controlul unui atacator. Controlul se realizează printr-un program troian, care deocamdată poate să nu se manifeste în niciun fel. Atunci când efectuează un atac, hackerul instruiește computerele infectate să trimită cereri către site-ul sau serverul victimei. Iar el, incapabil să reziste presiunii, nu mai răspunde.

    Iată cum Logstalgia arată un atac DDoS:

    Absolut orice computer se poate alătura unei rețele bot. Și chiar și un smartphone. Este suficient să prinzi un troian și să nu fii detectat la timp. Apropo, cel mai mare botnet era format din aproape 2 milioane de mașini din întreaga lume, iar proprietarii lor habar nu aveau ce fac.

    Metode de atac și apărare

    Înainte de a lansa un atac, hackerul își dă seama cum să-l efectueze cu efect maxim. Dacă nodul atacat are mai multe vulnerabilități, impactul poate fi efectuat în direcții diferite, ceea ce va complica semnificativ contracararea. Prin urmare, este important ca fiecare administrator de server să-și studieze toate „blocurile” și, dacă este posibil, să le întărească.

    Potop

    Inundă, vorbind într-un limbaj simplu, aceasta este o informație care nu poartă nicio încărcare semantică. În contextul atacurilor DoS/DDoS, o inundație este o avalanșă de solicitări goale, lipsite de sens de la un nivel sau altul, pe care nodul receptor este forțat să le proceseze.

    Scopul principal al folosirii inundațiilor este de a înfunda complet canalele de comunicație și de a satura lățimea de bandă la maximum.

    Tipuri de inundații:

    • MAC flood - impact asupra comunicatorilor de rețea (blocarea porturilor cu fluxuri de date).
    • Inundare ICMP - inundarea unei victime cu solicitări de ecou de serviciu folosind o rețea zombie sau trimiterea de cereri „în numele” nodului atacat, astfel încât toți membrii rețelei botnet să îi trimită simultan un răspuns ecou (atac Smurf). Un caz special de ICMP flood este ping flood (trimiterea cererilor ping către server).
    • SYN flood - trimiterea a numeroase cereri SYN către victimă, depășirea coadei de conexiune TCP prin crearea unui număr mare de conexiuni semideschise (în așteptarea confirmării clientului).
    • UDP flood - funcționează conform schemei de atac Smurf, unde datagramele UDP sunt trimise în locul pachetelor ICMP.
    • HTTP flood - inundarea serverului cu numeroase mesaje HTTP. O opțiune mai sofisticată este inundarea HTTPS, în care datele trimise sunt pre-criptate și înainte ca nodul atacat să le proceseze, trebuie să le decripteze.


    Cum să te protejezi de inundații

    • Configurați comutatoarele de rețea pentru a verifica validitatea și pentru a filtra adresele MAC.
    • Restricționați sau dezactivați procesarea solicitărilor de eco ICMP.
    • Blocați pachetele care provin de la o anumită adresă sau domeniu care dă motive să se suspecteze că este nefiabil.
    • Stabiliți o limită a numărului de conexiuni pe jumătate deschise cu o singură adresă, reduceți timpul de păstrare a acestora și prelungiți coada de conexiuni TCP.
    • Dezactivați serviciile UDP de la primirea traficului din exterior sau limitați numărul de conexiuni UDP.
    • Utilizați CAPTCHA, întârzieri și alte tehnici de protecție împotriva botului.
    • Crește suma maxima Conexiuni HTTP, configurați memorarea în cache a cererilor folosind nginx.
    • Extinde debitului canal de rețea.
    • Dacă este posibil, dedicați un server separat pentru a gestiona criptografia (dacă este utilizată).
    • Creați un canal de rezervă pentru accesul administrativ la server în situații de urgență.

    Supraîncărcare hardware

    Există tipuri de inundații care afectează nu canalul de comunicație, ci resursele hardware ale computerului atacat, încărcându-le la capacitatea maximă și provocând înghețarea sau blocarea. De exemplu:

    • Crearea unui script care va posta pe un forum sau site web unde utilizatorii au posibilitatea de a lăsa comentarii, o cantitate imensă de fără sens informații text până când tot spațiul pe disc este plin.
    • Același lucru, doar jurnalele serverului vor umple unitatea.
    • Încărcarea unui site unde se efectuează un fel de transformare a datelor introduse, procesarea continuă a acestor date (trimiterea așa-numitelor pachete „grele”).
    • Încărcarea procesorului sau a memoriei prin executarea codului prin interfața CGI (suportul CGI vă permite să rulați orice program extern pe server).
    • Declanșarea sistemului de securitate, facerea serverului inaccesibil din exterior etc.


    Cum să vă protejați de supraîncărcarea resurselor hardware

    • Creșteți productivitatea și volumul echipamentelor spatiu pe disc. Când serverul funcționează normal, cel puțin 25-30% din resurse ar trebui să rămână libere.
    • Utilizați sisteme de analiză și filtrare a traficului înainte de a-l transmite către server.
    • Limitați utilizarea resurselor hardware de către componentele sistemului (setați cote).
    • Stocați fișierele jurnal ale serverului pe o unitate separată.
    • Distribuiți resurse pe mai multe servere independente unul de celălalt. Astfel încât, dacă o parte eșuează, celelalte rămân operaționale.

    Vulnerabilități în sistemele de operare, software, firmware-ul dispozitivului

    Există nemăsurat mai multe opțiuni pentru a efectua acest tip de atac decât folosirea inundațiilor. Implementarea lor depinde de calificările și experiența atacatorului, de capacitatea sa de a găsi erori în codul programului și de a le folosi în beneficiul său și în detrimentul proprietarului resursei.

    Odată ce un hacker descoperă o vulnerabilitate (o eroare în software care poate fi folosită pentru a perturba funcționarea sistemului), tot ce trebuie să facă este să creeze și să ruleze un exploit - un program care exploatează această vulnerabilitate.

    Exploatarea vulnerabilităților nu este întotdeauna menită să provoace doar o denegare a serviciului. Dacă hackerul are noroc, el va putea obține controlul asupra resursei și va putea folosi acest „dar al sorții” la propria discreție. De exemplu, utilizați pentru distribuție malware, fura și distruge informații etc.

    Metode de contracarare a exploatării vulnerabilităților software

    • Instalați actualizări în timp util care acoperă vulnerabilitățile sistemelor de operare și ale aplicațiilor.
    • Izolați toate serviciile destinate rezolvării sarcinilor administrative de accesul terților.
    • Utilizați mijloace de monitorizare continuă a funcționării sistemului de operare și a programelor serverului (analiza comportamentală etc.).
    • Refuzați programele potențial vulnerabile (gratuite, auto-scrise, rar actualizate) în favoarea celor dovedite și bine protejate.
    • Folosiți mijloace gata făcute pentru a proteja sistemele împotriva atacurilor DoS și DDoS, care există atât sub formă de sisteme hardware, cât și de software.

    Cum să determinați că o resursă a fost atacată de un hacker

    Dacă atacatorul reușește să atingă scopul, este imposibil să nu sesizeze atacul, dar în unele cazuri administratorul nu poate determina exact când a început. Adică, uneori trec câteva ore de la debutul atacului până la simptome vizibile. Cu toate acestea, în timpul influenței ascunse (până când serverul scade), sunt prezente și anumite semne. De exemplu:

    • Comportamentul nenatural al aplicațiilor server sau sistem de operare(agățare, închidere cu erori etc.).
    • sarcina procesorului, RAM iar acumularea crește brusc față de nivelul inițial.
    • Volumul traficului pe unul sau mai multe porturi crește semnificativ.
    • Există mai multe solicitări de la clienți către aceleași resurse (deschiderea aceleiași pagini de site web, descărcarea aceluiași fișier).
    • Analiza jurnalelor de server, firewall și dispozitive de rețea prezintă un număr mare de solicitări monotone de la diverse adrese, deseori vizate port specific sau serviciu. Mai ales dacă site-ul se adresează unui public restrâns (de exemplu, vorbitor de limbă rusă), iar solicitările vin din toată lumea. O analiză calitativă a traficului arată că cererile nu au sens practic pentru clienți.

    Toate cele de mai sus nu sunt un semn 100% al unui atac, dar este întotdeauna un motiv pentru a acorda atenție problemei și a lua măsurile de protecție adecvate.

    Titlu: Am niște sfaturi!
    Acțiune