En attack under vilken användare inte kan komma åt vissa resurser kallas en DDoS-attack eller ett Denial of Service-problem. Huvuddraget i sådana hackerattacker är de samtidiga förfrågningarna från ett stort antal datorer runt om i världen, och de riktas huvudsakligen till servrarna hos välskyddade företag eller statliga organisationer, mer sällan till enskilda icke-kommersiella resurser.
En dator som har blivit infekterad blir en sorts "zombie", och hackare, som använder flera hundra, eller till och med tiotusentals sådana "zombies", orsakar ett fel i driften av resurser (denial of service).
Det kan finnas många anledningar till DDoS-attacker. Låt oss försöka identifiera de mest populära, och samtidigt kommer vi att svara på frågorna: "DDoS-attack - vad är det, hur man försvarar sig, vad är dess konsekvenser och med vilka medel utförs det?"
Konkurrens
Internet har länge blivit en källa till affärsidéer, genomförandet av stora projekt och andra sätt att tjäna ganska mycket pengar, så DDoS-attacken kan utföras på beställning. Det vill säga, om en organisation vill ta bort den när en konkurrent dyker upp, vänder den sig helt enkelt till en hackare (eller en grupp av dessa) med en enkel uppgift - att paralysera ett oönskat företags arbete genom internetresurser (DDoS-attack på en server eller webbplats).
Beroende på de specifika målen och målen, etableras en sådan attack under en viss period och med användning av lämpligt våld.
Bedrägeri
Ganska ofta organiseras en DDoS-attack på en webbplats på initiativ av hackare för att blockera systemet och få tillgång till personlig eller annan viktig data. Efter att angriparna förlamat systemet kan de kräva en viss summa pengar för att återställa funktionen hos de attackerade resurserna.
Många internetföretagare går med på de villkor som lagts fram och motiverar sina handlingar genom driftstopp och får kolossala förluster - det är lättare att betala en liten summa till en bedragare än att förlora betydande vinst för varje dag av driftstopp.
Underhållning
Många användare, bara för nyfikenhetens eller skojs skull, är intresserade av: "DDoS-attack - vad är det och hur man gör det?" Därför är det inte ovanligt att nybörjare angripare organiserar sådana attacker på slumpmässiga resurser för skojs skull och för att testa sin styrka.
Tillsammans med anledningarna har DDoS-attacker sina egna klassificeringsfunktioner.
- Bandbredd... Idag är nästan varje datorplats utrustad med antingen ett lokalt nätverk eller helt enkelt anslutet till Internet. Därför finns det frekventa fall av nätverksöversvämningar - ett stort antal förfrågningar med ett felaktigt format och meningslöst system till specifika resurser eller utrustning i syfte att dess efterföljande fel eller misslyckande (hårddiskar, minne, etc.).
- Systemutmattning... En sådan DDoS-attack på Samp-servern utförs för att lägga beslag på fysiskt minne, processortid och andra systemresurser, på grund av vars frånvaro det attackerade objektet helt enkelt inte kan fungera fullt ut.
- Slingor... Ändlös datavalidering och andra slingor som agerar "i en cirkel" tvingar objektet att slösa mycket resurser, vilket täpper till minnet tills det är helt uttömt.
- Spoofattacker... En sådan organisation är inriktad på falsk utlösning av skyddssystem, vilket i slutändan leder till blockering av vissa resurser.
- HTTP-protokoll... Hackare skickar HTTP-paket med låg kapacitet med speciell kryptering, resursen ser naturligtvis inte att en DDoS-attack har organiserats på den, serverprogrammet gör sitt jobb och skickar tillbaka paket med mycket större kapacitet, vilket täpper till offrets bandbredd, vilket återigen leder till att tjänsterna misslyckas.
- Smurf attack... Detta är en av de farligaste arterna. Hackaren sänder ett falskt ICMP-paket till offret, där offrets adress är förfalskade med angriparens adress, och alla noder börjar skicka ett svar på ping-förfrågan. Denna DDoS-attack är ett program som syftar till att använda ett stort nätverk, det vill säga en begäran som behandlas av 100 datorer kommer att förstärkas 100 gånger.
- UDP-översvämning... Denna typ av attack påminner lite om den tidigare, men istället för ICMP-paket använder angriparna UDP-paket. Kärnan i denna metod är att ersätta offrets IP-adress med hackarens adress och ladda bandbredden helt, vilket också kommer att leda till ett systemfel.
- SYN översvämning... Angripare försöker samtidigt starta ett stort antal TCP-anslutningar över en SYN-kanal med en felaktig eller ingen returadress. Efter flera sådana försök köar de flesta operativsystem den problematiska anslutningen och stänger den först efter ett visst antal försök. SYN-kanalflödet är ganska stort, och snart, efter många sådana försök, vägrar offrets kärna att öppna någon ny anslutning, vilket blockerar hela nätverket.
- "Tunga paket"... Denna typ ger ett svar på frågan: "Vad är en DDoS-attack på en server?" Hackare skickar paket till användarens server, men bandbreddsmättnad inträffar inte, åtgärden riktas endast till processortid. Som ett resultat leder sådana paket till ett fel i systemet, och det i sin tur till dess resurser.
- Loggfiler... Om systemet med kvoter och rotation har säkerhetsluckor kan angripare skicka stora paket och därigenom ta upp allt ledigt utrymme på serverns hårddiskar.
- Programkod... Hackare med lång erfarenhet kan till fullo undersöka strukturen på offrets server och starta speciella algoritmer (DDoS attack - exploatprogram). Sådana attacker är främst inriktade på välskyddade kommersiella projekt av företag och organisationer inom olika sfärer och områden. Angripare hittar brister i koden och kör ogiltiga instruktioner eller andra exceptionella algoritmer som får ett system eller en tjänst att krascha.
DDoS-attack: vad det är och hur du försvarar dig själv
Det finns många metoder för skydd mot DDoS-attacker. Och alla kan delas in i fyra delar: passiv, aktiv, reaktionär och förebyggande. Vi kommer att prata om detta mer i detalj senare.
En varning
Detta kräver förebyggande av själva orsakerna som kan provocera fram en DDoS-attack. Denna typ inkluderar någon form av personlig fientlighet, juridiska meningsskiljaktigheter, konkurrens och andra faktorer som framkallar "ökad" uppmärksamhet för dig, ditt företag, etc.
Om du reagerar på dessa faktorer i tid och drar lämpliga slutsatser kan du undvika många obehagliga situationer. Denna metod kan mer tillskrivas problemet än till den tekniska sidan av problemet.
Motåtgärder
Om attackerna mot dina resurser fortsätter måste du hitta källan till dina problem - kunden eller entreprenören - med hjälp av både juridisk och teknisk hävstång. Vissa företag tillhandahåller tjänster för att söka efter inkräktare på ett tekniskt sätt. Baserat på kvalifikationerna hos specialister som hanterar detta problem, kan du hitta inte bara en hacker som utför en DDoS-attack, utan också kunden själv.
Programvaruskydd
Vissa hårdvaru- och mjukvarutillverkare kan tillsammans med sina produkter erbjuda en hel del effektiva lösningar, och DDoS-attacken på sajten kommer att undertryckas. En separat liten server kan fungera som en teknisk försvarare, som syftar till att motverka små och medelstora DDoS-attacker.
Denna lösning är perfekt för små och medelstora företag. För större företag, företag och statliga myndigheter finns det hela hårdvarusystem för att bekämpa DDoS-attacker, som tillsammans med ett högt pris har utmärkta skyddsegenskaper.
Filtrering
Blockering och grundlig filtrering av inkommande trafik minskar inte bara sannolikheten för en attack. I vissa fall kan en DDoS-attack på en server helt uteslutas.
Det finns två huvudsakliga metoder för att filtrera trafik - brandväggar och fullständig routing efter listor.
Filtrering med hjälp av listor (ACL) låter dig filtrera bort oväsentliga protokoll utan att störa TCP eller sakta ner hastigheten för åtkomst till den skyddade resursen. Men om hackare använder botnät eller högfrekventa förfrågningar, kommer denna metod att vara ineffektiv.
De är mycket bättre på att skydda mot DDoS-attacker, men deras enda nackdel är att de endast är avsedda för privata och icke-kommersiella nätverk.
Spegel
Kärnan i denna metod är att omdirigera all inkommande trafik från angriparen tillbaka. Detta kan göras genom att ha kraftfulla servrar och kompetenta specialister som inte bara kommer att omdirigera trafik, utan också kan inaktivera angriparens utrustning.
Metoden fungerar inte om det finns fel i systemtjänster, programkoder och andra nätverksapplikationer.
Sök efter sårbarheter
Denna typ av skydd syftar till att fixa exploateringar, fixa buggar i webbapplikationer och system och andra tjänster som ansvarar för nätverkstrafik. Metoden är värdelös mot översvämningsattacker som riktar sig mot dessa sårbarheter.
Moderna resurser
Denna metod kan inte garantera 100 % skydd. Men det låter dig mer effektivt utföra andra åtgärder (eller en uppsättning av dessa) för att förhindra DDoS-attacker.
Fördelning av system och resurser
Duplicering av resurser och distribution av system kommer att tillåta användare att arbeta med din data, även om en DDoS-attack i det ögonblicket utförs på din server. För distribution kan man använda olika server- eller nätverksutrustning, och det rekommenderas även att separera tjänster fysiskt på olika redundanta system (datacenter).
Denna skyddsmetod är den mest effektiva idag, förutsatt att den korrekta arkitektoniska utformningen har skapats.
Undvikande
Huvudfunktionen i denna metod är utdata och separation av det attackerade objektet (domännamn eller IP-adress), det vill säga alla arbetsresurser som finns på en plats måste delas och placeras på tredjepartsnätverksadresser, eller till och med på territoriet från en annan stat. Detta gör att du kan överleva alla attacker och bevara den interna IT-strukturen.
DDoS-skyddstjänster
Efter att ha berättat allt om ett sådant gissel som DDoS-attacken (vad det är och hur man hanterar det), kan vi äntligen ge ett bra råd. Många stora organisationer erbjuder sina tjänster för att förhindra och förhindra sådana attacker. I grund och botten använder sådana företag en hel rad åtgärder och olika mekanismer för att skydda ditt företag från de flesta DDoS-attacker. Specialister och experter inom deras fält arbetar där, därför, om din resurs är kär för dig, skulle det bästa (om än inte billigt) alternativet vara att kontakta ett av dessa företag.
Hur en gör-det-själv DDoS-attack utförs
Medveten är en sann princip. Men kom ihåg att att medvetet organisera en DDoS-attack av en person eller av en grupp personer är ett brott, så detta material tillhandahålls endast för information.
Ett program utvecklades av amerikanska IT-ledare för att förhindra hot för att testa servrarnas motståndskraft och möjligheten till DDoS-attacker från cyberkriminella, följt av eliminering av denna attack.
Naturligtvis vände "heta" sinnen dessa vapen mot utvecklarna själva och mot vad de slogs med. Produktens kodnamn är LOIC. Detta program är fritt tillgängligt och är i princip inte förbjudet enligt lag.
Gränssnittet och funktionaliteten i programmet är ganska enkelt, alla som är intresserade av en DDoS-attack kan använda det.
Hur gör man allt själv? I gränssnittets rader räcker det att ange IP-offren, ställ sedan in TCP- och UDP-strömmar och antalet förfrågningar. Voila - efter att ha tryckt på den eftertraktade knappen började attacken!
Naturligtvis kommer alla seriösa resurser inte att drabbas av denna programvara, men små kan uppleva vissa problem.
Denna organisation tillhandahåller, förutom att registrera domännamn i .tr-zonen, även ryggradskommunikation till turkiska universitet. Anonyma hacktivister tog på sig ansvaret för attacken och anklagade den turkiska ledningen för att stödja ISIS.
De första tecknen på DDoS dök upp på morgonen den 14 december; vid middagstid hade fem NIC.tr-servrar kapitulerat för anstormningen av soptrafik med en kapacitet på upp till 40 Gbps. Problemet påverkade också RIPE-koordinationscentret, som tillhandahåller en alternativ NS-infrastruktur NIC.tr. RIPE-representanter noterade att attacken modifierades för att kringgå RIPEs försvar.
Storskaliga DDoS-attacker håller på att bli det mest effektiva sättet att störa webbtjänster – kostnaden för attacker minskar hela tiden, vilket gör det möjligt att öka kraften: på bara två år har den genomsnittliga DDoS-attackeffekten fyrdubblats till 8 Gbps. När det gäller medelvärden ser en attack mot Turkiets nationella domänzon imponerande ut, men experter betonar att 400 Gbps DDoS-attacker snart kommer att bli normen.
Det unika med den turkiska attacken ligger i det faktum att angriparna valde rätt mål: genom att koncentrera sig på ett relativt litet antal IP-adresser kunde de praktiskt taget inaktivera infrastrukturen i ett helt land med bara en 40-gigabit attack.
Det turkiska National Cyber Incident Response Center blockerade all trafik till NIC.tr-servrar från andra länder, vilket gjorde alla 400 000 turkiska webbplatser otillgängliga och returnerade all e-post till avsändare. Senare beslutade centret att ändra taktik genom att selektivt blockera misstänkta IP-adresser. .tr-domänernas DNS-servrar har konfigurerats om för att distribuera förfrågningar mellan offentliga och privata servrar, med hjälp av turkiska internetleverantörer Superonline och Vodafone.
De attackerade domänerna återvände online samma dag, men många sajter och e-posttjänster var intermittenta i flera dagar. Inte bara lokala företag och statliga myndigheter påverkades, utan också många nationella webbplatser som valde ett domännamn i .tr-zonen; totalt handlar det om cirka 400 tusen webbplatser, varav 75% är företag. Den turkiska landskodsdomänen används också av utbildningsinstitutioner, kommuner och militären.
Tills "Anonymous" gjorde ett uttalande, skyllde många DDoS-attacken på ryssarna - på grund av de spända relationerna mellan Turkiet och Ryssland. Vid ett tillfälle misstänktes ryska hackare för inblandning i storskaliga cyberattacker mot Estland (2007), Georgien (2008) och Ukraina (2014) av liknande skäl. Vissa experter såg den turkiska DDoS som ett svar från ryssarna på en DDoS-attack av turkiska cybergrupper på den ryska nyhetssajten Sputnik.
Anonymous tillkännagivande fråntog den ryska spårhypotesen från dess grund. Hacktivister hotar också att attackera turkiska flygplatser, banker, servrar till statliga myndigheter och militära organisationer om Turkiet inte slutar hjälpa ISIS.
Vem blir attackerad?
Enligt centralbanken fördubblades nästan antalet ryska finansinstitut 2016. I november riktade DDoS-attacker sig mot fem stora ryska banker. I slutet av förra året rapporterade centralbanken om DDoS-attacker på finansinstitut, inklusive centralbanken. "Syftet med attackerna var att störa tjänsterna och, som ett resultat, att undergräva förtroendet för dessa organisationer. Dessa attacker var anmärkningsvärda för det faktum att det var den första storskaliga användningen av Internet of Things i Ryssland. I grund och botten involverade attacken internetkameror och hushållsroutrar, ”noterade säkerhetstjänsterna för stora banker.Samtidigt orsakade DDoS-attacker inte betydande skada på banker - de är väl skyddade, så sådana attacker, även om de orsakade problem, var inte kritiska och störde inte en enda tjänst. Ändå kan man konstatera att antibankaktiviteten hos hackare har ökat avsevärt.
I februari 2017 slog de tekniska tjänsterna vid det ryska hälsoministeriet tillbaka den största DDoS-attacken på senare år, som nådde en topp på 4 miljoner förfrågningar per minut. Det har förekommit DDoS-attacker på statliga register, men de var också misslyckade och ledde inte till några dataförändringar.
Men offren för DDoS-attacker är många organisationer och företag som har ett så kraftfullt "försvar". Under 2017 väntas skadorna från cyberhot öka – ransomware, DDoS och attacker på IoT-enheter.
IoT-enheter blir allt populärare som ett verktyg för att utföra DDoS-attacker. En anmärkningsvärd händelse var DDoS-attacken som lanserades i september 2016 med den skadliga koden Mirai. I den fungerade hundratusentals kameror och andra enheter från videoövervakningssystem som attackmedel.
Det genomfördes mot den franska värdleverantören OVH. Det var den mest kraftfulla DDoS-attacken - nästan 1 Tbit/s. Hackarna använde ett botnät för att använda 150 000 IoT-enheter, mestadels CCTV-kameror. Attacker med Mirai botnät har gett upphov till många botnät från IoT-enheter. Enligt experter kommer IoT-botnät under 2017 att fortsätta att vara ett av de största hoten i cyberrymden.
Enligt 2016 års Verizon dataintrångsrapport (DBIR) ökade antalet DDoS-attacker avsevärt under det senaste året. I världen är de mest drabbade underhållningsindustrin, professionella organisationer, utbildning, IT och detaljhandeln.
En anmärkningsvärd trend i DDoS-attacker är utvidgningen av "offerlistan". Nu ingår representanter från i stort sett alla branscher. Dessutom förbättras attackmetoderna.
Enligt Nexusguard skedde det i slutet av 2016 en markant ökning av antalet blandade DDoS-attacker som involverade flera sårbarheter. Oftast var de utsatta för finansiella och statliga organisationer. Huvudmotivet för cyberbrottslingar (70 % av fallen) är datastöld eller hot om att förstöra dem i lösensyfte. Mindre vanligt, politiska eller sociala mål. Det är därför en försvarsstrategi är viktig. Hon kan förbereda sig för en attack och minimera dess konsekvenser, minska ekonomiska risker och ryktesrisker.
Efterdyningarna av attackerna
Vilka är konsekvenserna av en DDoS-attack? Under en attack förlorar offret kunder på grund av långsam drift eller fullständig otillgänglighet av webbplatsen, och företagets rykte blir lidande. Tjänsteleverantören kan blockera offrets IP-adress för att minimera skador på andra kunder. Det kommer att ta tid, och eventuellt pengar, att återställa allt.Enligt en företagsundersökning ses DDoS-attacker av hälften av organisationerna som ett av de allvarligaste cyberhoten. Hotet från DDoS är till och med högre än hotet om obehörig åtkomst, virus, bedrägerier och nätfiske, för att inte tala om andra hot.
De genomsnittliga förlusterna från DDoS-attacker över hela världen uppskattas till 50 000 $ för små organisationer och nästan 500 000 $ för stora företag. Att eliminera konsekvenserna av en DDoS-attack kommer att kräva ytterligare arbetstid för anställda, avleda resurser från andra projekt för att säkerställa säkerheten, utveckla en programuppdateringsplan, uppgradera utrustning, etc.
Den attackerade organisationens rykte kan skadas inte bara på grund av dålig webbprestanda, utan också på grund av stöld av personlig information eller finansiell information.
Enligt företagets undersökning växer antalet DDoS-attacker med 200 % årligen, med 2 000 attacker av denna typ som rapporteras varje dag i världen. Kostnaden för att organisera en veckovis DDoS-attack är bara cirka $ 150, och det genomsnittliga offrets förluster överstiger $ 40 000 per timme.
Typer av DDoS-attacker
De huvudsakliga typerna av DDoS-attacker är massiva attacker, protokollattacker och applikationsattacker. Målet är i alla fall att inaktivera webbplatsen eller stjäla data. En annan typ av cyberbrottslighet är hotet om en DDoS-lösenattack. Sådana hackergrupper som Armada Collective, Lizard Squad, RedDoor och ezBTC är kända för detta.Organiseringen av DDoS-attacker har blivit mycket lättare: nu finns det allmänt tillgängliga automatiserade verktyg som praktiskt taget inte kräver speciell kunskap från cyberbrottslingar. Det finns också betalda DDoS-tjänster för anonyma målattacker. Till exempel erbjuder vDOS-tjänsten sina tjänster utan att kontrollera om kunden är ägaren till sajten, som vill testa den "under belastning", eller om det görs i syfte att attackera.
DDoS-attacker är attacker från många källor som hindrar legitima användare från att komma åt den attackerade webbplatsen. För att göra detta skickas ett stort antal förfrågningar till det attackerade systemet, som det inte kan hantera. Vanligtvis används komprometterade system för detta ändamål.
Den årliga tillväxten av antalet DDoS-attacker uppskattas till 50 % (enligt uppgifterna), men uppgifterna från olika källor skiljer sig åt, och alla incidenter blir inte kända. Den genomsnittliga kraften för Layer 3/4 DDoS-attacker har vuxit de senaste åren från 20 till flera hundra GB/s. Medan massiva DDoS- och protokollnivåattacker är otäcka i sig, kombinerar cyberkriminella dem allt oftare med Layer 7 DDoS-attacker, det vill säga på applikationsnivå, som syftar till att ändra eller stjäla data. Sådana attacker med flera vektorer kan vara mycket effektiva.
Multivektorattacker står för cirka 27 % av det totala antalet DDoS-attacker.
Vid en massiv DDoS-attack (volymbaserad) används ett stort antal förfrågningar, ofta skickade från legitima IP-adresser, så att sajten "dränks" i trafik. Syftet med sådana attacker är att "täppa" all tillgänglig bandbredd och blockera legitim trafik.
I en attack på protokollnivå (som UDP eller ICMP) är målet att tömma systemresurserna. För detta skickas öppna förfrågningar, till exempel TCP / IP-förfrågningar med falsk IP, och som ett resultat av uttömning av nätverksresurser blir det omöjligt att behandla legitima förfrågningar. Typiska representanter är DDoS-attacker, kända i snäva kretsar som Smurf DDos, Ping of Death och SYN flood. En annan typ av protokolllager DDoS-attack innebär att ett stort antal fragmenterade paket skickas som systemet inte kan hantera.
Layer 7 DDoS-attacker är att skicka till synes ofarliga förfrågningar som verkar vara resultatet av normal användaraktivitet. Vanligtvis används botnät och automatiserade verktyg för att implementera dem. Anmärkningsvärda exempel är Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.
Under 2012-2014 var de flesta av de massiva DDoS-attackerna Stateless (ingen statefulness och session tracking) attacker - de använde UDP-protokollet. När det gäller Stateless cirkulerar många paket under en session (till exempel när du öppnar en sida). Vem som startade sessionen (begärde sidan), tillståndslösa enheter vet som regel inte.
UDP är känsligt för spoofing - adressbyte. Om du till exempel vill attackera DNS-servern 56.26.56.26 med DNS Amplification-attacken, kan du skapa en uppsättning paket med avsändaradressen 56.26.56.26 och skicka dem till DNS-servrar runt om i världen. Dessa servrar kommer att skicka ett svar till 56.26.56.26.
Samma metod fungerar för NTP-servrar, SSDP-aktiverade enheter. NTP är kanske den mest populära metoden: under andra halvan av 2016 användes den i 97,5 % av DDoS-attacker.
Best Current Practice (BCP) 38 rekommenderar internetleverantörer att konfigurera gateways för att förhindra spoofing - avsändaradress, källnätverk övervakas. Men denna praxis följs inte av alla länder. Dessutom kringgår angripare BCP 38-kontroller genom att byta till Stateful-attacker på TCP-lagret. Enligt F5 Security Operations Center (SOC) har sådana attacker dominerat de senaste fem åren. Under 2016 var det dubbelt så många TCP-attacker som UDP-attacker.
Layer 7 attacker används mest av professionella hackare. Principen är följande: en "tung" URL (med en PDF-fil eller en begäran till en stor databas) tas och upprepas dussintals eller hundratals gånger per sekund. Layer 7 attacker är hemska och svåra att känna igen. De står nu för cirka 10% av DDoS-attacker.
Korrelation mellan olika typer av DDoS-attacker enligt Verizon Data Breach Investigations Report (DBIR) (2016).
Ofta är DDoS-attacker tidsinställda så att de sammanfaller med perioder med topptrafik, till exempel onlineförsäljningsdagar. Stora strömmar av personlig och finansiell data lockar hackare vid denna tidpunkt.
DDoS-attacker på DNS
Domain Name System (DNS) spelar en grundläggande roll för en webbplatss prestanda och tillgänglighet. Ytterst - i framgången för ditt företag. Tyvärr är DNS-infrastruktur ofta målet för DDoS-attacker. Genom att undertrycka din DNS-infrastruktur kan angripare skada din webbplats, ditt företags rykte och din ekonomiska prestation. DNS-infrastruktur måste vara mycket motståndskraftig och skalbar för att motstå dagens hot.I grunden är DNS en distribuerad databas som bland annat mappar lättlästa sajtnamn till IP-adresser, vilket gör att användaren kan komma till önskad sida efter att ha angett URL:en. Den första användarinteraktionen med webbplatsen börjar med DNS-förfrågningar som skickas till DNS-servern med adressen till din webbplatss internetdomän. Deras bearbetning kan stå för upp till 50 % av webbsidans laddningstid. Således kan en minskning av DNS-prestanda leda till att användaren lämnar webbplatsen och förlorar för affärer. Om din DNS-server slutar svara som ett resultat av en DDoS-attack, kommer ingen att kunna ta sig till webbplatsen.
DDoS-attacker är svåra att upptäcka, särskilt i början när trafiken ser normal ut. DNS-infrastruktur kan utsättas för olika typer av DDoS-attacker. Ibland är detta en direkt attack på DNS-servrar. I andra fall används utnyttjande av DNS-system för att attackera andra delar av IT-infrastrukturen eller tjänsterna.
DNS-reflektionsattacker utsätter målet för massiva falska DNS-svar. För detta används botnät som infekterar hundratals och tusentals datorer. Varje bot i ett sådant nätverk genererar flera DNS-förfrågningar, men använder samma mål-IP-adress som käll-IP (spoofing). DNS-tjänsten svarar på denna IP-adress.
Detta ger en dubbel effekt. Målsystemet bombarderas med tusentals och miljontals DNS-svar, och DNS-servern kan "ligga ner" utan att klara av belastningen. Själva DNS-frågan är vanligtvis mindre än 50 byte, och svaret är tio gånger längre. Dessutom kan DNS-meddelanden innehålla mycket annan information.
Anta att en angripare utfärdade 100 000 korta 50-byte DNS-frågor (5 MB totalt). Om varje svar innehåller 1 KB, är den totala summan redan 100 MB. Därav namnet Amplification. Kombinationen av DNS Reflection och Amplification attacker kan få mycket allvarliga konsekvenser.
Förfrågningar ser ut som vanlig trafik, och svar är många stora meddelanden som riktas till målsystemet.
Hur skyddar du dig från DDoS-attacker?
Hur skyddar du dig från DDoS-attacker, vilka åtgärder ska du vidta? Först och främst, skjut inte upp det "för senare". Vissa överväganden måste tas i beaktande när du konfigurerar nätverket, startar servrar och distribuerar programvara. Och varje efterföljande förändring bör inte öka sårbarheten för DDoS-attacker.DNS-skydd
Hur skyddar du din DNS-infrastruktur från DDoS-attacker? Vanliga brandväggar och IPS hjälper inte här, de är maktlösa mot en komplex DDoS-attack på DNS. I själva verket är brandväggar och intrångsskyddssystem själva sårbara för DDoS-attacker.Molntjänster för städning av trafik kan komma till undsättning: den skickas till ett visst centrum, där den kontrolleras och omdirigeras tillbaka till sin destination. Dessa tjänster är användbara för TCP-trafik. De som hanterar sin egen DNS-infrastruktur kan vidta följande åtgärder för att mildra effekterna av DDoS-attacker.
Det bästa sättet att skydda DNS från DDoS-attacker är att använda ett geografiskt spritt Anycast-nätverk. Distribuerade DNS-nätverk kan implementeras med två olika metoder: Unicast- eller Anycast-adressering. Den första metoden är mycket lättare att implementera, men den andra är mycket mer motståndskraftig mot DDoS-attacker.
När det gäller Unicast tilldelas var och en av ditt företags DNS-servrar en unik IP-adress. DNS upprätthåller en tabell över din domäns DNS-servrar och motsvarande IP-adresser. När användaren anger en URL väljs en av IP-adresserna slumpmässigt för att utföra begäran.
Med Anycast-adresseringsschemat delar olika DNS-servrar en gemensam IP-adress. När användaren anger en URL returneras den samlade adressen för DNS-servrarna. IP-nätverket dirigerar förfrågan till närmaste server.
Anycast ger grundläggande säkerhetsfördelar jämfört med Unicast. Unicast exponerar IP-adresserna för enskilda servrar, så att angripare kan starta riktade attacker mot specifika fysiska servrar och virtuella maskiner, och när systemets resurser är slut uppstår ett tjänstefel. Anycast kan hjälpa till att mildra DDoS-attacker genom att distribuera förfrågningar över en grupp servrar. Anycast är också användbart för att isolera effekterna av en attack.
Leverantörsförsett DDoS-skydd
Att designa, distribuera och driva ett globalt Anycast-nätverk tar tid, pengar och kunskap. De flesta IT-organisationer har inte kompetens och ekonomi för att göra detta. Du kan lita på en hanterad tjänsteleverantör som är specialiserad på DNS för att hålla din DNS-infrastruktur igång. De har den nödvändiga kunskapen för att skydda DNS från DDoS-attacker.Hanterade DNS-tjänsteleverantörer driver storskaliga Anycast-nätverk och har närvaropunkter runt om i världen. Nätverkssäkerhetsexperter övervakar nätverket 24/7/365 och använder specialverktyg för att mildra effekterna av DDoS-attacker.
Tjänster erbjuds också av vissa värdleverantörer: nätverkstrafik analyseras 24/7, så din webbplats kommer att vara relativt säker. Sådant skydd kan motstå kraftfulla attacker - upp till 1500 Gbps. Samtidigt betalas trafiken.
Ett annat alternativ är att skydda IP-adresser. Leverantören placerar IP-adressen, som klienten har valt som skyddad, i ett speciellt analysatornätverk. Attacken matchar trafik till klienten mot kända attackmönster. Som ett resultat får klienten endast ren, filtrerad trafik. Således kanske webbplatsanvändare inte vet att en attack har gjorts på den. För att organisera detta skapas ett distribuerat nätverk av filtreringsnoder så att det för varje attack är möjligt att välja den närmaste noden och minimera fördröjningen i trafiköverföringen.
Resultatet av att använda tjänsterna för skydd mot DDoS-attacker kommer att bli aktuell upptäckt och förhindrande av DDoS-attacker, kontinuiteten på webbplatsen och dess ständiga tillgänglighet för användarna, minimering av ekonomiska förluster och förluster av rykte från driftstopp på webbplatsen eller portalen.
DoS- och DDoS-attacker är aggressiva externa influenser på datorresurserna på en server eller arbetsstation som syftar till att få den senare att misslyckas. Med misslyckande menar vi inte ett fysiskt fel på en maskin, utan otillgängligheten av dess resurser för samvetsgranna användare - ett misslyckande hos systemet att serva dem ( D enial o f S ervice, vilket är vad förkortningen DoS är).
Om en sådan attack utförs från en enda dator, klassificeras den som DoS (DoS), om från flera - DDoS (DDoS eller DDoS), vilket betyder "D tilldelas D enial o f S ervice "- distribuerad denial of service. Låt oss sedan prata om varför angripare utför sådana handlingar, vad de är, vilken skada de orsakar de attackerade och hur de senare kan skydda sina resurser.
Vem kan drabbas av DoS- och DDoS-attacker
Attackerna riktar sig mot företagsservrar för företag och webbplatser, mycket mindre ofta - privata datorer. Syftet med sådana handlingar är som regel ett - att orsaka ekonomisk skada på de attackerade och förbli i skuggorna. I vissa fall är DoS- och DDoS-attacker ett av stadierna av serverhackning och syftar till att stjäla eller förstöra information. Faktum är att ett företag eller en webbplats som ägs av vem som helst kan bli offer för cyberbrottslingar.
Diagram som illustrerar kärnan i en DDoS-attack:
DoS- och DDoS-attacker utförs oftast på uppmaning av oärliga konkurrenter. Så genom att "fylla upp" webbplatsen för en onlinebutik som erbjuder en liknande produkt, kan du tillfälligt bli en "monopol" och hämta sina kunder för dig själv. Genom att "lägga ner" företagsservern är det möjligt att störa ett konkurrerande företags arbete och därmed minska dess position på marknaden.
Storskaliga attacker som kan orsaka betydande skada utförs vanligtvis av professionella cyberbrottslingar för mycket pengar. Men inte alltid. Hembryggade amatörhackare kan också attackera dina resurser - av intresse och hämnare bland uppsagda anställda, och helt enkelt de som inte delar din åsikt om livet.
Ibland utförs nedslaget i syfte att utpressa, medan angriparen öppet kräver pengar från ägaren av resursen för att stoppa attacken.
Statsägda företags och välkända organisationers servrar attackeras ofta av anonyma grupper av högt kvalificerade hackare i syfte att påverka tjänstemän eller orsaka folkstorm.
Hur attacker utförs
Funktionsprincipen för DoS- och DDoS-attacker är att skicka en stor ström av information till servern, som maximalt (så långt hackarens kapacitet tillåter), laddar processorns datorresurser, RAM, täpper till kommunikationskanaler eller fyller upp diskutrymme. Den attackerade maskinen kan inte hantera inkommande data och slutar svara på användarförfrågningar.
Så här ser den normala driften av servern ut, visualiserad i Logstalgia-programmet:
Effektiviteten av enstaka DOS-attacker är inte särskilt hög. Dessutom riskerar en attack från en persondator en angripare att bli identifierad och gripen. Distribuerade attacker (DDoS) från så kallade zombienätverk eller botnät ger mycket större vinst.
Så här visar webbplatsen Norse-corp.com botnätaktivitet:
Ett zombienätverk (botnät) är en grupp datorer som inte har någon fysisk koppling till varandra. De förenas av det faktum att de alla är under kontroll av angriparen. Kontrollen utförs med hjälp av ett trojanskt program, som för tillfället kanske inte visar sig på något sätt. När hackaren utför en attack instruerar hackaren de infekterade datorerna att skicka förfrågningar till offrets webbplats eller server. Och han, oförmögen att stå emot anfallet, slutar svara.
Så här visar Logstalgia DDoS-attacken:
Vilken dator som helst kan gå med i botnätet. Och till och med en smartphone. Det räcker att fånga trojanen och inte upptäcka den i tid. Förresten, det största botnätet hade nästan 2 miljoner maskiner runt om i världen, och deras ägare hade ingen aning om vad de behövde göra.
Metoder för attack och försvar
Innan en attack påbörjas, kommer en hacker på hur den ska utföras med maximal effekt. Om den attackerade noden har flera sårbarheter kan påverkan utföras i olika riktningar, vilket kommer att komplicera svaret avsevärt. Därför är det viktigt för varje serveradministratör att undersöka alla dess flaskhalsar och om möjligt stärka dem.
Översvämning
Flood, förenklat, är information som inte bär en semantisk belastning. I samband med DoS/DDoS-attacker är en översvämning en lavin av tomma, meningslösa förfrågningar av en eller annan nivå, som den mottagande noden tvingas bearbeta.
Huvudsyftet med att använda översvämning är att helt täppa till kommunikationskanaler, mätta bandbredden maximalt.
Typer av översvämningar:
- MAC flood - påverkan på nätverkskommunikatörer (blockerar portar med dataströmmar).
- ICMP-översvämning - översvämma offret med serviceekoförfrågningar med hjälp av ett zombienätverk eller skicka förfrågningar "på uppdrag av" den attackerade värden så att alla botnätsmedlemmar samtidigt skickar honom ett ekosvar (smurfattack). Ett specialfall av ICMP-flooding är ping-flooding (sänder ping-förfrågningar till servern).
- SYN flood - Skickar flera SYN-förfrågningar till offret, fyller TCP-anslutningskön genom att skapa ett stort antal halvöppna (i väntan på klientbekräftelse) anslutningar.
- UDP flood - fungerar enligt schemat för Smurfattacker, där UDP-datagram skickas istället för ICMP-paket.
- HTTP flood - översvämma servern med många HTTP-meddelanden. Ett mer sofistikerat alternativ är en HTTPS-flod, där överförd data är förkrypterad, och innan den attackerade värden bearbetar den måste den dekryptera den.
Hur du skyddar dig från översvämningar
- Konfigurera MAC-adressvalidering och filtrering på nätverksväxlar.
- Begränsa eller neka bearbetning av ICMP-ekoförfrågningar.
- Blockera paket som kommer från en specifik adress eller domän, vilket ger upphov till misstanke om opålitlighet.
- Sätt en gräns för antalet halvöppna anslutningar med en adress, minska deras retentionstid, förläng TCP-anslutningskön.
- Inaktivera UDP-tjänster från att ta emot trafik utifrån eller begränsa antalet UDP-anslutningar.
- Använd CAPTCHA, fördröjningar och andra antibot-skyddstekniker.
- Öka det maximala antalet HTTP-anslutningar, konfigurera cachelagring av begäran med nginx.
- Utöka nätverkskanalens bandbredd.
- Om möjligt, tilldela en separat server för bearbetning av kryptografi (om tillämpligt).
- Skapa en backupkanal för administrativ åtkomst till servern i nödsituationer.
Överbelastning av hårdvaruresurser
Det finns typer av översvämningar som inte påverkar kommunikationskanalen, utan hårdvaruresurserna för den attackerade datorn, laddar dem fullt ut och får dem att frysa eller krascha. Till exempel:
- Skapande av ett skript som kommer att lägga upp en enorm mängd meningslös textinformation på ett forum eller en webbplats där användare har möjlighet att lämna kommentarer tills hela diskutrymmet är fullt.
- Samma sak, bara serverloggarna kommer att fylla enheten.
- Laddar webbplatsen, där en viss transformation av inmatad data utförs, genom kontinuerlig bearbetning av dessa data (sändning av de så kallade "tunga" paketen).
- Laddar processorn eller minnet genom att exekvera kod via CGI-gränssnittet (CGI-stöd låter dig köra valfritt externt program på servern).
- Att trigga ett säkerhetssystem, som gör servern oåtkomlig från utsidan osv.
Hur man skyddar mot överbelastning av hårdvaruresurser
- Öka hårdvarans prestanda och diskutrymme. När servern fungerar i normalt läge måste minst 25-30 % av resurserna förbli lediga.
- Aktivera system för att analysera och filtrera trafik innan den överförs till servern.
- Begränsa användningen av hårdvaruresurser av systemkomponenter (fastställ kvoter).
- Lagra serverloggfiler på en separat enhet.
- Sprid resurser över flera oberoende servrar. Så att om en del misslyckas förblir de andra operativa.
Sårbarheter i operativsystem, programvara, enhetsfirmware
Det finns oändligt mycket fler alternativ för att utföra sådana attacker än att använda översvämningar. Deras implementering beror på angriparens färdigheter och erfarenhet, hans förmåga att hitta fel i programkoden och använda dem till sin egen fördel och till nackdel för ägaren av resursen.
Efter att en hackare upptäcker en sårbarhet (ett programvarufel som kan användas för att störa systemet) behöver han bara skapa och köra en exploatering – ett program som utnyttjar denna sårbarhet.
Utnyttjande av sårbarheter är inte alltid avsedd att endast orsaka denial of service. Om hackaren har tur kommer han att kunna få kontroll över resursen och göra sig av med denna "ödets gåva" efter eget gottfinnande. Det kan till exempel användas för att sprida skadlig programvara, stjäla och förstöra information etc.
Metoder för att motverka exploatering av sårbarheter i programvara
- Installera uppdateringar i tid för att åtgärda sårbarheter i operativsystem och applikationer.
- Isolera alla administrativa tjänster från tredjepartsåtkomst.
- Använd medel för konstant övervakning av serverns operativsystem och program (beteendeanalys, etc.).
- Ge upp potentiellt sårbara program (gratis, självskrivna, sällan uppdaterade) till förmån för beprövade och välskyddade.
- Använd färdiga medel för att skydda system mot DoS- och DDoS-attacker, som finns både i form av hård- och mjukvarusystem.
Hur man avgör om en resurs har attackerats av en hacker
Om angriparen lyckas nå målet är det omöjligt att inte märka attacken, men i vissa fall kan administratören inte avgöra exakt när den startade. Det vill säga att det ibland tar flera timmar från att attacken börjar till märkbara symtom. Men under latent exponering (tills servern "lägger sig") finns det också vissa tecken. Till exempel:
- Onaturligt beteende hos serverapplikationer eller operativsystem (frysning, avslutning med fel, etc.).
- Belastningen på processor, minne och lagring ökar dramatiskt från baslinjen.
- Trafikvolymen på en eller flera hamnar ökar markant.
- Det finns flera anrop från klienter till samma resurser (öppnar en sida på webbplatsen, laddar ner samma fil).
- Analys av serverloggar, brandvägg och nätverksenheter visar ett stort antal monotona förfrågningar från olika adresser, ofta riktade till en specifik port eller tjänst. Speciellt om sajten riktar sig till en smal publik (till exempel rysktalande), och förfrågningar kommer från hela världen. Samtidigt visar en kvalitativ analys av trafiken att förfrågningar inte har någon praktisk betydelse för kunderna.
Allt ovanstående är inte ett 100% tecken på en attack, men det är alltid en anledning att uppmärksamma problemet och vidta lämpliga skyddsåtgärder.
