DOS i DDoS napadi: pojam, vrste, metode detekcije i zaštite. DDoS napad - šta je to? Šta se koristi za ddos napade

Sve češće, u službenim porukama hosting provajdera, tu i tamo bljeskaju spomeni reflektiranih DDoS napada. Korisnici sve češće, nakon što su otkrili nedostupnost svoje stranice, odmah preuzimaju DDoS. Zaista, početkom marta Runet je doživio čitav talas takvih napada. U isto vrijeme, stručnjaci uvjeravaju da zabava tek počinje. Jednostavno je nemoguće zanemariti fenomen tako hitan, zastrašujući i intrigantan. Zato danas, hajde da pričamo o mitovima i činjenicama o DDoS-u. Sa stanovišta hosting provajdera, naravno.

Dan za pamćenje

Dana 20. novembra 2013. godine, po prvi put u 8-godišnjoj istoriji naše kompanije, kompletna tehnička stranica bila je nedostupna nekoliko sati zbog neviđenog DDoS napada. Deseci hiljada naših klijenata širom Rusije i ZND su stradali, a da ne spominjemo nas i našeg internet provajdera. Poslednja stvar koju je provajder uspeo da popravi pre nego što se belo svetlo zatamni svima je da su njegovi ulazni kanali potpuno zakrčeni dolaznim saobraćajem. Da biste to vizualizirali, zamislite svoju kadu s običnim umivaonikom, u koji su se sjurili Nijagarini vodopadi.

Čak su i dobavljači višeg nivoa u lancu osjetili odjeke ovog cunamija. Donji grafikoni jasno ilustruju šta se tog dana dogodilo sa internet saobraćajem u Sankt Peterburgu i Rusiji. Obratite pažnju na strme vrhove u 15:00 i 18:00, baš kada smo snimili napade. Za ove iznenadne plus 500-700 GB.

Bilo je potrebno nekoliko sati da se lokalizuje napad. Izračunat je server na kojem je bio hostovan. Tada je izračunata i meta internet terorista. Znate li koga je pogodila sva ta neprijateljska artiljerija? Po jedna vrlo obična, skromna klijentska stranica.

Mit broj jedan: „Meta napada je uvijek provajder hostinga. To su mahinacije njegovih konkurenata. Ne moj." U stvari, najvjerovatnija meta internet terorista je obična klijentska stranica. To je stranica jednog od vaših susjeda hostinga. Ili možda tvoj.

Ne sav taj DDoS...

Nakon događaja na našem tehničkom sajtu 20. novembra 2013. i njihovog delimičnog ponavljanja 9. januara 2014., neki korisnici su počeli da pretpostavljaju DDoS u svakom privatnom propustu sopstvene stranice: "Ovo je DDoS!" i "Imate li ponovo DDoS?"

Važno je zapamtiti da ako se suočimo s takvim DDoS-om da ga čak i kupci osjete, odmah ga sami prijavimo.

Želimo da uvjerimo one koji se žure u panici: ako nešto nije u redu s vašom web lokacijom, onda je vjerovatnoća da je u pitanju DDoS manja od 1%. Jednostavno zbog činjenice da se sajtu može desiti mnogo toga i ovo "puno stvari" se dešava mnogo češće. O metodama samobrze dijagnostike šta se tačno dešava sa vašim sajtom ćemo govoriti u jednom od sledećih postova.

U međuvremenu, radi tačnosti upotrebe riječi, pojasnimo pojmove.

O terminima

DoS napad (iz engleskog Denial of Service) - Ovo je napad osmišljen da izazove uskraćivanje usluge serveru zbog preopterećenja.

DoS napadi ne uključuju oštećenje opreme ili krađu informacija; njihovu svrhu - učinite da server prestane reagirati. Osnovna razlika između DoS-a je u tome što se napad dešava sa jedne mašine na drugu. Tačno su dva učesnika.

Ali u stvarnosti, mi praktično ne opažamo DoS napade. Zašto? Zato što su mete napada najčešće industrijski objekti (na primjer, moćni produktivni serveri hosting kompanija). A da bi se nanijela bilo kakva vidljiva šteta radu takve mašine, potrebno je mnogo više snage od njene vlastite. Ovo je prva stvar. I drugo, inicijator DoS napada prilično je lako identificirati.

DDoS - u suštini isto što i DoS, samo što je napad distribuirane prirode. Ne pet, ne deset, ne dvadeset, već stotine i hiljade računara istovremeno pristupaju istom serveru sa različitih lokacija. Takva armija mašina se zove botnet... Gotovo je nemoguće izračunati kupca i organizatora.

Saučesnici

Koje vrste računara su uključene u botnet?

Iznenadit ćete se, ali često su to najobičniji kućni automobili. Ko zna? .. - vrlo vjerovatno vaš kućni računar odnesen na strani zla.

Malo je potrebno za ovo. Napadač pronalazi ranjivost u popularnom operativni sistem ili aplikaciju i uz njenu pomoć inficira vaš računar trojancem, koji u određeni dan i sat nalaže vašem računaru da počne da izvršava određene radnje. Na primjer, šaljite zahtjeve na određenu IP adresu. Bez vašeg znanja i učešća, naravno.

Mit broj dva: « DDoS se radi negdje daleko od mene, u posebnom podzemnom bunkeru gdje sjede bradati hakeri crvenih očiju." U stvari, ne znajući, vi, vaši prijatelji i komšije - svako može biti nesvjesni saučesnik.

Ovo se zaista dešava. Čak i ako ne razmišljaš o tome. Čak i ako ste užasno daleko od IT-a (pogotovo ako ste daleko od IT-a!).

Zabavna hakerska ili DDoS mehanika

DDoS fenomen je heterogen. Ovaj koncept kombinuje mnoge opcije za akciju koje dovode do jednog rezultata (uskraćivanje usluge). Razmotrimo varijante problema koje nam DDoS-ovci mogu predstavljati.

Prekomjerna upotreba računarskih resursa servera

To se radi slanjem paketa na određenu IP adresu, za čiju obradu je potrebna velika količina resursa. Na primjer, da biste učitali stranicu, morate izvršiti veliki broj SQL upita. Svi napadači će zatražiti ovu konkretnu stranicu, što će uzrokovati preopterećenje servera i uskraćivanje usluge za redovne, legitimne posjetitelje stranice.
Ovo je napad na nivou školaraca koji je nekoliko večeri posvetio čitanju časopisa Hacker. Ona nije problem. Isti traženi URL se izračunava trenutno, nakon čega se pristup njemu blokira na nivou web servera. A ovo je samo jedno od rješenja.

Preopterećenje komunikacijskih kanala do servera (na izlazu)

Nivo težine ovog napada je otprilike isti kao i prethodni. Napadač izračunava najtežu stranicu na sajtu, a botnet pod njegovom kontrolom počinje masovno da je traži.

Zamislite da je nevidljivi dio Winnie the Pooha beskonačno velik
U ovom slučaju je također vrlo lako razumjeti čime je točno odlazni kanal začepljen i zabraniti pristup ovoj stranici. Upite istog tipa je lako vidjeti specijalnih uslužnih programa koji vam omogućavaju da pogledate mrežni interfejs i analizira saobraćaj. Zatim se za Firewall piše pravilo koje blokira takve zahtjeve. Sve se to radi redovno, automatski i tako munjevito da većina korisnika nije ni svjesna bilo kakvog napada.

Mit broj tri: „A međutim, rijetko idu na moj hosting, a ja ih uvijek primijetim." U stvari, ne možete vidjeti ili osjetiti 99,9% napada. Ali svakodnevna borba sa njima - ovo je svakodnevni, rutinski posao hosting kompanije. To je naša realnost u kojoj je napad jeftin, konkurencija van razmjera, a ne pokazuju svi diskriminaciju u metodama borbe za mjesto na suncu.

Preopterećenje komunikacijskih kanala do servera (na ulazu)

Ovo je već zagonetka za one koji su čitali časopis Hacker više od jednog dana.

Fotografija sa stranice radija "Eho Moskve". Nismo pronašli ništa vizualnije da predstavimo DDoS sa zagušenošću ulaznih kanala.
Da biste ispunili kanal dolaznim saobraćajem do tačke kvara, morate imati botnet sa kapacitetom da generiše potrebnu količinu saobraćaja. Ali možda postoji način da date malo prometa, a dobijete mnogo?

Postoji, i ne jedan. Postoji mnogo opcija za povećanje napada, ali jedna od najpopularnijih je trenutno napad preko javnih DNS servera. Stručnjaci ovu metodu nazivaju pojačavanjem DNS pojačanje(u slučaju da je neko više stručan). A ako je jednostavnije, onda zamislite lavinu: dovoljan je mali napor da se razbije, a dovoljni su neljudski resursi da se zaustavi.

Ti i ja to znamo javni DNS server na zahtjev obavještava svakoga ko želi znati o bilo kojem nazivu domene. Na primjer, pitamo takav server: recite mi o domeni sprinthost.ru. A on nam bez oklijevanja baca sve što zna.

Upitivanje DNS servera je vrlo jednostavna operacija. Ne košta gotovo ništa kontaktirati ga, zahtjev će biti mikroskopski. Na primjer, ovako:

Ostaje samo odabrati naziv domene, informacije o kojima će činiti impresivan paket podataka. Tako se originalnih 35 bajtova laganim pokretom ruke pretvara u skoro 3700. Postoji povećanje od više od 10 puta.

Ali kako se uvjeriti da je odgovor usmjeren na ispravnu IP adresu? Kako lažirati IP izvora zahtjeva tako da DNS server šalje svoje odgovore u pravcu žrtve, koja nije tražila nikakve podatke?

Činjenica je da DNS serveri rade na UDP komunikacioni protokol, što uopće ne zahtijeva potvrdu izvora zahtjeva. U ovom slučaju, krivotvorenje odlazne IP adrese nije velika stvar za korisnika. Zbog toga je ova vrsta napada sada toliko popularna.

Ono što je najvažnije, vrlo mali botnet je dovoljan za izvođenje takvog napada. I nekoliko raštrkanih javni DNS, koji neće vidjeti ništa čudno u činjenici da različiti korisnici s vremena na vrijeme traže podatke na adresu istog hosta. I tek tada će se sav taj promet spojiti u jedan tok i čvrsto zabiti jednu "cijev".

Ono što doser ne može znati su kanalni kapaciteti mete. A ako ne izračuna ispravno snagu svog napada i ne začepi kanal do servera odjednom za 100%, napad se može brzo i lako odbiti. Korištenje uslužnih programa kao što je TCPdump lako je otkriti da dolazni saobraćaj dolazi sa DNS-a i odbiti ga na nivou zaštitnog zida. Ova opcija - odbijanje prihvatanja saobraćaja sa DNS-a - povezana je sa određenim neugodnostima za sve, međutim, i serveri i sajtovi na njima će nastaviti da uspešno rade.

Ovo je samo jedna od mnogih opcija za pojačanje napada. Ima mnogo drugih vrsta napada, o njima ćemo drugi put. U međuvremenu, želio bih rezimirati da sve navedeno vrijedi za napad čija snaga ne prelazi širinu pojasa do servera.

Ako je napad moćan

Ako snaga napada premašuje kapacitet kanala do servera, događa se sljedeće. Internet kanal je trenutno začepljen do servera, zatim do hosting sajta, do njegovog Internet provajdera, do provajdera višeg nivoa, i tako dalje i naviše (dugoročno - do najapsurdnijih granica), sve do snaga napada će biti.

I tada to postaje globalni problem za sve. Ukratko, to je ono sa čim smo se morali pozabaviti 20.11.2013. A kada dođe do velikih šokova, vrijeme je da uključite posebnu magiju!

Ovako nešto izgleda kao posebna čarolija.Uz pomoć ove magije moguće je izračunati server na koji je usmjeren promet i blokirati njegovu IP adresu na nivou internet provajdera. Tako da prestane da prima bilo kakve pozive na ovu IP adresu preko svojih kanala komunikacije sa vanjskim svijetom (uplinks). Ljubitelji pojmova: stručnjaci nazivaju ovu proceduru "Crna rupa", od engleskog blackhole.

U ovom slučaju napadnuti server sa 500-1500 naloga ostaje bez svog IP-a. Njemu se dodjeljuje nova podmreža IP adresa, preko koje su računi klijenata nasumično ravnomjerno raspoređeni. Nadalje, stručnjaci čekaju ponavljanje napada. Gotovo uvijek se ponavlja.

A kada se ponovi, na napadnutom IP-u više nema 500-1000 naloga, već desetak-dva.

Krug osumnjičenih se sužava. Ovih 10-20 naloga se ponovo distribuiraju na različite IP adrese. I opet inženjeri čekaju u zasjedi da ponovi napad. Iznova i iznova, nalozi koji su ostali pod sumnjom se rašire na različite IP adrese, i tako se, postepeno približavajući, izračunava meta napada. Svi ostali nalozi se do tog trenutka vraćaju u normalan rad na prethodnoj IP adresi.

Kao što je jasno, ovo nije trenutna procedura, potrebno je vrijeme za implementaciju.

Mit broj četiri:“Kada dođe do masovnog napada, moj hoster nema plan akcije. On samo čeka, zatvarajući oči, kada će se bombardovanje završiti, i odgovara na moja pisma istim tipom odgovora."To nije slučaj: u slučaju napada, hosting provajder djeluje po planu kako bi ga što prije lokalizirao i otklonio posljedice. A pisma istog tipa omogućavaju vam da prenesete suštinu onoga što se događa i istovremeno uštedite resurse potrebne za najbrži mogući izlazak iz vanredne situacije.

Ima li svjetla na kraju tunela?

Sada vidimo da je DDoS aktivnost u stalnom porastu. Naručivanje napada postalo je vrlo pristupačno i ružno jeftino. Da bi se izbjegle optužbe za propagandu, neće biti pruflinkova. Ali vjerujte nam na riječ, tako je.

Mit broj pet: „DDoS napad je veoma skup događaj i samo poslovni tajkuni mogu sebi priuštiti da ga naruče. U ekstremnom slučaju, ovo je intriga tajnih službi!" Zapravo, ovakvi događaji su postali izuzetno dostupni.

Stoga, nema razloga očekivati da će zlonamjerna aktivnost sama od sebe nestati. Naprotiv, samo će jačati. Ostaje samo kovati i oštriti oružje. Ono što mi radimo je poboljšanje mrežne infrastrukture.

Pravna strana pitanja

Ovo je potpuno nepopularan aspekt rasprave o DDoS napadima, jer rijetko čujemo o slučajevima hvatanja i kažnjavanja podstrekača. Međutim, treba da zapamtite: DDoS napad je krivično djelo. U većini zemalja svijeta, uključujući Rusku Federaciju.

Mit broj šest: « Sad znam dovoljno o DDoS-u, naručiću odmor za takmičara - i ništa mi neće doći zbog toga!" Moguće je da će biti. A ako i jeste, neće izgledati kao malo.

Povezivanje DDoS priče sistem plaćanja Asist
Uzbudljiv rasplet

Općenito, nikome ne savjetujemo da se upušta u opaku praksu DDoS-a, kako ne bi navukao bijes pravde i ne bi sakrivio svoju karmu. A mi, zbog specifičnosti naše djelatnosti i velikog istraživačkog interesa, nastavljamo proučavati problem, čuvamo se i unapređujemo odbrambene strukture.

PS:nemamo dovoljno toplih riječi da izrazimo svoju zahvalnost, pa samo kažemo"Hvala!" našim strpljivim klijentima koji su nas toplo podržali teškog dana 20.11.2013. Izgovorili ste mnogo ohrabrujućih riječi u našu podršku

Na računarskom sistemu u cilju njegovog dovođenja do kvara, odnosno stvaranja uslova pod kojima legalni (legitimni) korisnici sistema ne mogu pristupiti resursima (serverima) koje obezbeđuje sistem, ili je taj pristup otežan. Kvar "neprijateljskog" sistema takođe može biti korak ka ovladavanju sistemom (ako, u hitnoj situaciji, softver daje bilo kakvu kritičnu informaciju - na primer, verziju, deo programskog koda, itd.). Ali češće je to mjera ekonomskog pritiska: zastoji usluge koja stvara prihod, računi od provajdera i mjere za izbjegavanje napada značajno pogađaju cilj.

Ako se napad izvrši istovremeno sa velikog broja računara, oni govore o DDoS napad(iz engleskog. Distribuirano uskraćivanje usluge, distribuirani napad uskraćivanja usluge). U nekim slučajevima, stvarni DDoS napad je pokrenut nenamjernom radnjom, na primjer, postavljanjem veze na popularni internetski resurs na web lokaciju koja se nalazi na ne baš produktivnom serveru (efekat slashdot). Veliki priliv korisnika dovodi do prekoračenja dozvoljenog opterećenja servera i, posljedično, uskraćivanja usluge za neke od njih.

Vrste DoS napada

Postoje različiti razlozi za DoS stanje:

Greška u programskom kodu, što dovodi do pristupa neiskorišćenom fragmentu adresnog prostora, izvršavanja nevažeće instrukcije ili druge neobrađene situacije izuzetka kada dođe do abnormalnog prekida serverskog programa - serverskog programa. Klasičan primjer je zero reversal (eng. null) adresa.
Nedovoljna validacija korisničkih podatakašto dovodi do beskonačnog ili dugog ciklusa ili povećane dugoročne potrošnje procesorskih resursa (do iscrpljivanja resursa procesora) ili dodjeljivanja velike količine ram memorija(do iscrpljenja dostupne memorije).
Poplava(eng. poplava- "flood", "overflow") - napad povezan s velikim brojem obično besmislenih ili pogrešno formatiranih zahtjeva za kompjuterski sistem ili mrežnu opremu, koja ima za cilj ili dovodi do kvara sistema zbog iscrpljenosti sistemskih resursa – procesora, memorije ili komunikacionih kanala.
Napad tipa II- napad koji nastoji da izazove pogrešan rad sistema zaštite i na taj način dovede do nedostupnosti resursa.

Ako se napad (obično poplava) izvrši istovremeno sa velikog broja IP adresa - sa nekoliko računara raštrkanih u mreži - tada se u ovom slučaju naziva distribuirano napad uskraćivanja usluge ( DDoS).

Iskorištavanje grešaka

Exploit odnosi se na program, dio softverskog koda ili niz softverskih naredbi koje iskorištavaju ranjivosti u softveru i koriste se za izvođenje napada na sajber sistem. Među eksploatacijama koje dovode do DoS napada, ali neprikladnim, na primjer, za preuzimanje kontrole nad "neprijateljskim" sistemom, najpoznatiji su WinNuke i Ping of death.

Poplava

Za poplavu kao kršenje pravila mreže, pogledajte Poplava.

Poplava nazovite ogroman tok besmislenih zahteva sa različitih računara kako bi „neprijateljski“ sistem (procesor, RAM ili komunikacioni kanal) okupirali radom i tako ga privremeno onemogućili. Koncept "DDoS napada" je praktički ekvivalentan konceptu "poplave", au svakodnevnom životu se oba često koriste naizmenično ("flood the server" = "prevladati DDoS server").

Za stvaranje poplave mogu se koristiti i obični mrežni uslužni programi poput pinga (ovo je poznato, na primjer, Internet zajednica "Upyachka"), i posebni programi. DDoS mogućnosti su često "ušivene" u botnetove. Ako se na sajtu sa velikim prometom pronađe ranjivost skriptovanja na više lokacija ili mogućnost uključivanja slika iz drugih resursa, ova stranica se također može koristiti za DDoS napad.

Preplavljivanje komunikacijskog kanala i TCP podsistema

Svaki računar koji komunicira sa vanjskim svijetom putem TCP/IP-a podliježe sljedećim vrstama poplava:

SYN poplava - kod ove vrste poplavnog napada, a veliki broj SYN paketi preko TCP-a (zahtjevi za otvaranje veze). Istovremeno, nakon kratkog vremena, broj soketa dostupnih za otvaranje (softverske mrežne utičnice, portovi) na napadnutom računaru se iscrpljuje i server prestaje da reaguje.
UDP flood - ova vrsta poplava ne napada ciljni računar, već njegov komunikacioni kanal. ISP-ovi razumno pretpostavljaju da UDP paketi trebaju biti isporučeni prvi, a TCP može čekati. Veliki broj UDP paketa različitih veličina začepljuje komunikacioni kanal, a server koji radi preko TCP protokola prestaje da reaguje.
ICMP flood - isto, ali koristeći ICMP pakete.

Nivo aplikacije poplava

Mnogi servisi su dizajnirani na način da mali zahtjev može uzrokovati veliku potrošnju računarske snage na serveru. U ovom slučaju nije napadnut komunikacioni kanal ili TCP podsistem, već sam servis (servis) - poplavom ovakvih "bolesnih" zahteva. Na primjer, web serveri su ranjivi na HTTP poplavu - jednostavan GET / ili složeni upit baze podataka kao što je GET /index.php?search= može se koristiti za onemogućavanje web servera.<случайная строка> .

Detekcija DoS napada

Vjeruje se da posebni alati nisu potrebni za otkrivanje DoS napada, jer se činjenica DoS napada ne može previdjeti. U mnogim slučajevima to je tačno. Međutim, vrlo često su uočeni uspješni DoS napadi, koje su žrtve primijetile tek nakon 2-3 dana. Desilo se da su negativne posljedice napada ( poplava napadi) rezultirali su nepotrebnim troškovima za plaćanje viška internet saobraćaja, što se pokazalo tek prilikom prijema računa od internet provajdera. Pored toga, mnoge metode otkrivanja upada su neefikasne u blizini mete, ali efikasne na okosnicama mreže. U tom slučaju, preporučljivo je tu instalirati sisteme za detekciju, a ne čekati da napadnuti korisnik to primijeti i zatraži pomoć. Osim toga, kako bi se efikasno suprotstavili DoS napadima, potrebno je poznavati vrstu, prirodu i druge karakteristike DoS napada, a sistemi za detekciju vam omogućavaju da brzo dobijete ove informacije.

Metode otkrivanja DoS napada mogu se podijeliti u nekoliko velikih grupa:

baziran na potpisu - zasnovan na kvalitativnoj analizi saobraćaja.
statistički - na osnovu kvantitativne analize prometa.
hibridni (kombinovani) - kombinujući prednosti obe gore navedene metode.

DoS zaštita

Protivmjere protiv DoS napada mogu se podijeliti na pasivne i aktivne, kao i preventivne i reaktivne.

Ispod je kratka lista osnovne metode.

Prevencija. Sprečavanje razloga koji navode određene osobe na organizovanje i preduzimanje DoS napada. (Vrlo često su sajber napadi uglavnom rezultat ličnih pritužbi, političkih, vjerskih i drugih nesuglasica, provociranja ponašanja žrtve itd.)
Filtriranje i blackholing. Blokiranje saobraćaja od napadačkih mašina. Efikasnost ovih metoda se smanjuje kako se približavate meti napada i povećava se kako se približavate mašini koja napada.
Obrnuti DDOS- preusmjeravanje saobraćaja korištenog za napad na napadača.
Uklanjanje ranjivosti. Ne radi protiv poplava- napadi za koje je "ranjivost" ograničenost određenih sistemskih resursa.
Izgradnja resursa. Naravno, ne pruža apsolutnu zaštitu, ali je dobra podloga za primjenu drugih vrsta zaštite od DoS napada.
Disperzija. Izgradnja distribuiranih i dupliciranih sistema koji neće prestati da služe korisnicima, čak i ako neki od njihovih elemenata postanu nedostupni zbog DoS napada.
Utaja. Udaljavanje neposredne mete napada (ime domene ili IP adresa) od drugih resursa, koji su često takođe pogođeni zajedno sa direktnom metom napada.
Proaktivan odgovor. Utjecaj na izvore, organizatora ili centar za kontrolu napada, kako umjetnim tako i organizacijskim i pravnim sredstvima.
Upotreba opreme za odbijanje DoS napada. Na primjer, DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® i drugi proizvođači.
Kupovina usluge za zaštitu od DoS napada. Relevantno ako poplava premašuje propusni opseg mrežnog kanala.

vidi takođe

Bilješke (uredi)

Književnost

Chris Kaspersky Kompjuterski virusi iznutra i spolja. - Peter. - SPb. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analiza tipičnih proboja sigurnosti u mrežama = Signature i analiza upada. - New Riders Publishing (engleski) SPb.: Izdavačka kuća "Williams" (ruski), 2001. - P. 464. - ISBN 5-8459-0225-8 (ruski), 0-7357-1063-5 (engleski)
Morris, R.T= Slabost u 4.2BSD Unix TCP/IP softveru. - Computing Scienece Technical Report No.117. - AT&T Bell Laborotories, februar 1985.
Bellovin, S. M.= Sigurnosni problemi u paketu TCP/IP protokola. - Pregled kompjuterskih komunikacija, Vol. 19, br.2. - AT&T Bell Laborotories, april 1989.
= daemon9 / route / infinity "IP-spool Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Issue 48 .-- Guild Production, jul 1996.
= daemon9 / route / infinity "Projekat Neptun". - Phrack Magazine, Vol.7, Issue 48 .-- Guild Production, jul 1996.

Linkovi

DoS napad u direktoriju veza projekta Open Directory (

DDoS napad (Distributed Denial of Service napad) je skup radnji koje mogu potpuno ili djelomično onemogućiti internetski resurs. Gotovo svaki Internet resurs, kao što je web stranica, server za igre ili državni resurs, može djelovati kao žrtva. Trenutno je gotovo nemoguće da haker sam organizira DDoS napad. U većini slučajeva, napadač koristi mrežu računara zaraženih virusom. Virus vam omogućava da dobijete potrebno i dovoljno daljinski pristup na zaraženi računar. Mreža takvih računara naziva se botnet. Tipično, botnetovi imaju server za koordinaciju. Odlučujući da pokrene napad, napadač šalje komandu serveru koordinatora, koji zauzvrat signalizira svima da počnu slati zlonamjerne mrežne zahtjeve.

Razlozi za DDoS napade

Lični animozitet

Ovaj razlog je prilično čest. Prije nekog vremena, nezavisni istraživački novinar Brian Krebs otkrio je aktivnosti najvećeg servisa za izvođenje prilagođenih DDoS napada - vDOS. Informacija je iznesena do svih detalja, što je izazvalo hapšenje organizatora ovog servisa. Kao odgovor, hakeri su pokrenuli napad na blog novinara, čija je snaga dostigla 1 Tbit/s. Ovaj napad je postao najsnažniji na svijetu svih godina.

Zabava

Danas je sve lakše samostalno organizirati primitivni DDoS napad. Takav napad bi bio krajnje nesavršen i ne anoniman. Nažalost, većina onih koji su odlučili da se osjećaju kao "haker" ne znaju ni za prvo ni za drugo. Međutim, mnogi školarci često praktikuju DDoS napade. Ishod takvih slučajeva je veoma raznolik.

Politički protest (haktivizam)

Jedan od prvih napada sa društvenim motivima bio je DDoS napad koji je 1996. godine izveo haker Omega. Omega je bio član hakerske koalicije Cult of the Dead Crew (cDc). Termin “haktivizam” postao je popularan u medijima zbog povećane učestalosti sajber napada na društvenoj osnovi. Tipični hacktivisti su grupe Anonymous i LulzSec.

Nelojalna konkurencija

Takvi motivi su uobičajeni u industriji servera igara, ali u maloprodajnoj industriji takvi slučajevi su prilično česti. Dosta efikasan način nelojalna konkurencija koja može uništiti reputaciju platforma za trgovanje ako se njegovi vlasnici na vrijeme ne obrate stručnjacima za pomoć. Ovaj motiv se može izdvojiti od ostalih kao najčešći.

Iznuda ili ucjena

U ovom slučaju, napadač od potencijalne žrtve traži novčanu sumu zbog neizvršenja napada. Ili za njegov prekid. Velike organizacije često postaju žrtve ovakvih napada, na primjer, tokom 2014. godine napadnuti su Tinkoff banka i IT resurs Habrahabr, najveći torrent tracker Rutracker.org (kako je to bilo?).

Posljedice DDoS napada

Posljedice DDoS napada mogu biti vrlo različite, od gašenja vašeg servera od strane data centra do potpunog gubitka reputacije resursa i prometa klijenata. Mnoge organizacije nesvjesno biraju beskrupulozne pružaoce sigurnosti kako bi uštedjele, što često ne donosi nikakvu korist. Kako biste izbjegli takve probleme, preporučujemo da kontaktirate profesionalce u svojoj branši.

Napadi koji su ušli u istoriju interneta

Tehnološki napredak se odvija velikim koracima, a napadači se zauzvrat trude da ne miruju i implementiraju sve složenije i moćnije napade. Sastavili smo kratak opis najzanimljivijih slučajeva koji su ušli u istoriju DDoS napada. Neki od njih mogu izgledati uobičajeno prema modernim standardima, ali u vrijeme kada su se dogodili, radilo se o napadima vrlo velikih razmjera.

Ping of Dead. Metoda napada zasnovana na upotrebi komande ping. Ovaj napad je stekao popularnost 1990-ih zbog nesavršene mrežne opreme. Suština napada je slanje jednog ping zahtjeva mrežnom čvoru, dok tijelo paketa ne uključuje standardna 64 bajta podataka, već 65535 bajtova. Nakon prijema takvog paketa, mrežni stog opreme se prepunio i uzrokovao uskraćivanje usluge.

Napad koji utiče na stabilnost interneta. Spamhaus je 2013. godine bio žrtva napada od 280 Gbps. Najzanimljivije je da su za napad hakeri koristili DNS servere sa interneta, koji su zauzvrat bili veoma opterećeni velikim brojem zahteva. Tog dana milioni korisnika su se žalili na sporo učitavanje stranica zbog zagušenja servisa.

Rekordni napad sa prometom preko 1 Tbps. U 2016, hakeri su pokušali da nas napadnu paketnim napadom pri 360 Mpps i 1 Tbps. Ova brojka je postala rekord za čitavo postojanje interneta. Ali čak i pod takvim napadom smo se odupirali i opterećenje mreže je samo malo ograničilo slobodne resurse mrežne opreme.

Karakteristike današnjih napada

Ne računajući vršne napade, možemo reći da snaga napada svake godine raste više od 3-4 puta. Geografija napadača se samo djelimično mijenja iz godine u godinu, jer je to zbog maksimalnog broja računara u određenoj zemlji... Kao što se može vidjeti iz tromjesečnog izvještaja za 2016. koji su pripremili naši stručnjaci, Rusija, SAD i Kina su zemlje rekorderi po broju botova.

Koje su vrste DDoS napada?

Trenutno se vrste napada mogu podijeliti u 3 klase:

Napadi prekoračenja kanala

Ova vrsta napada uključuje i;

Napadi koji iskorištavaju ranjivosti u stogu mrežnih protokola

Najpopularniji i najzanimljiviji napadi ovog tipa su, / napad,

Zašto odabrati nas? Naša oprema se nalazi u ključnim data centrima širom sveta i sposobna je da odbije napade do 300 Gbps ili 360 miliona paketa u sekundi. Organizirali smo i mrežu za isporuku sadržaja () i dežurni smo tim inženjera u slučaju nestandardnog napada ili vanrednih situacija. Stoga, kada ste došli pod našu zaštitu, možete biti sigurni da je vaš resurs dostupan 24/7. Vjeruju nam: REG.RU, Argumenty i Fakty, WebMoney, ruska radio holding kompanija GPM i druge korporacije.

Možete sami implementirati zaštitu od samo malog broja napada koristeći analizu prometa ili postavljanje pravila rutiranja. Date su metode zaštite od nekih napada.

Ne morate naručiti DDoS napad. Platite hakerima i razmislite o panici vaših konkurenata. Prvo iz direktorske fotelje, a onda iz zatvorskog kreveta.

Objasnićemo zašto je obraćanje hakerima poslednja stvar koju pošteni preduzetnik treba da uradi i kako to preti.

Kako napraviti DDoS napadčak i školarac zna

Danas su alati za organizovanje DDoS napada dostupni svima. Barijera za ulazak za hakere početnike je niska. Dakle, udio kratkih, ali snažnih napada na ruske stranice povećana. Izgleda da hakerske grupe samo vježbaju vještine.

Ilustrativan slučaj. Godine 2014 Edukativni portal Republika Tatarstan je podvrgnut DDoS napadima. Na prvi pogled, nema smisla napadati: ovo nije komercijalna organizacija i od nje se nema šta tražiti. Portal pruža ocjene, raspored časova i tako dalje. Dosta. Stručnjaci Kaspersky Lab-a pronašli su grupu Vkontakte, gdje su studenti i školarci Tatarstana razgovarali kako napraviti DDoS napad.

Zajednica mladih boraca sa sistemom Republike Tatarstan

Izvedeni upiti „kako izvršiti DDoS napad na Tatarstan“ doveli su stručnjake za sajber sigurnost do zanimljive objave. Izvođači su brzo pronađeni i morali su da plati odštetu.

Nekada su čupali stranice u dnevnicima, ali sada hakuju sajtove

Zbog jednostavnosti DDoS napada, uzimaju ih početnici bez moralnih principa i razumijevanja svojih mogućnosti. Oni također mogu preprodati podatke kupaca. Podmlađivanje DDoS napadača je globalni trend.

Zatvorska kazna u proljeće 2017 primio britanski student. Kada je imao 16 godina, stvarao je program za DDoS napade Titanium Stresser. Britanac je od njegove prodaje zaradio 400 hiljada funti sterlinga (29 miliona rubalja). Uz pomoć ovog DDoS programa izvršeno je 2 miliona napada na 650 hiljada korisnika širom svijeta.

Ispostavilo se da su tinejdžeri članovi velikih DDoS grupa Lizard Squad i PoodleCorp. Mladi Amerikanci su izmislili svoje DDoS programe, ali ih je koristio za napad na servere igara kako bi stekao prednost u online igrama. Pa su ih našli.

Da li će reputaciju kompanije povjeriti dojučerašnjim školarcima, svako odlučuje za sebe.

Kazna zaDDoS programiu Rusiji

Kako napraviti DDoS napadzainteresovani za preduzetnike koji ne žele da igraju po pravilima takmičenja. Riječ je o službenicima Odjeljenja "K" Ministarstva unutrašnjih poslova Rusije. Uhvate izvođače.

Ruski zakon predviđa kaznu za sajber zločine. Na osnovu ustaljene prakse, učesnici DDoS napada mogu potpasti pod sljedeće članke.

Kupci.Njihove radnje obično potpadaju pod- ilegalni pristup zakonom zaštićenim kompjuterske informacije.

kazna:kazna zatvora do sedam godina ili novčana kazna do 500 hiljada rubalja.

Primjer... Po ovom članu osuđen je službenik odeljenja tehničke zaštite informacija uprave grada Kurgana. Razvio je multifunkcionalni Meta program. Uz njegovu pomoć, napadač je prikupio lične podatke o 1,3 miliona stanovnika regiona. Nakon - prodao je bankama i agencijama za naplatu. Haker je dobio dvije godine zatvora.

Performers.Po pravilu se kažnjavajučlan 273 Krivičnog zakona Ruske Federacije - stvaranje, korištenje i distribucija zlonamjernih kompjuterskih programa.

Kazna.Kazna zatvora do sedam godina sa novčanom kaznom do 200 hiljada rubalja.

Primjer.19-godišnji student iz Toljatija dobio 2,5 godine uslovne kazne i novčanu kaznu od 12 miliona rubalja. Korišćenjem programe za DDoS napade koje je pokušao da obori informacionih resursa i web stranice banaka. Nakon napada, student je iznuđivao novac.

Nepažljivi korisnici.Nepoštivanje sigurnosnih pravila prilikom pohranjivanja podataka je kažnjivoČlan 274 Krivičnog zakona Ruske Federacije - kršenje pravila za rad skladištenja, obrade ili prenosa računarskih informacija i informacionih i telekomunikacionih mreža.

kazna:kazna zatvora do pet godina ili novčana kazna do 500 hiljada rubalja.

Primjer.Ukoliko je prilikom pristupa informacijama na bilo koji način ukraden novac, članak će se prekvalifikovati kao prevara u oblasti informatičkih podataka (). Dakle, dvije godine u kaznenoj koloniji dobio uralske hakere koji su dobili pristup serverima banaka.

Napadi na medije.Ako DDoS napadi imaju za cilj kršenje novinarskih prava, radnje potpadaju pod - ometanje zakonite profesionalne djelatnosti novinara.

kazna:kazna zatvora do šest godina ili novčana kazna do 800 hiljada rubalja.

Primjer.Ovaj članak se često reklasificira u teže. Kako napraviti DDoS napad poznavao one koji su napali Novu Gazetu, Eho Moskvy i Boljšoj Gorod. Regionalne publikacije također postaju žrtve hakera.

U Rusiji je stroga kazna za upotrebu DDoS programi ... Anonimnost iz kancelarije "K" vas neće spasiti.

Programi za DDoS napade

Prema mišljenju stručnjaka, 2.000 botova je dovoljno za napad na prosječnu lokaciju. Cijena DDoS napada počinje od 20 USD (1.100 RUB). Broj napadačkih kanala i vrijeme rada se dogovaraju pojedinačno. Postoje i iznude.

Pristojan haker će provesti test penetracije prije napada. Vojska bi ovu metodu nazvala "izviđanje na snazi". Suština testa penetracije je mali kontrolirani napad kako bi se saznali resursi zaštite stranice.

Zanimljiva činjenica.Kako napraviti DDoS napadmnogi ljudi znaju, ali moć hakera određuje botnet. Kriminalci često jedni od drugih kradu ključeve za pristup "vojski", a zatim ih preprodaju. Poznati trik je da se "stavi" wi-fi tako da će se nasilno restartovati i vratiti na osnovne postavke. U ovom stanju, lozinka je standardna. Tada napadači dobijaju pristup svom saobraćaju u organizaciji.

Najnoviji hakerski trend je hakovanje pametnih uređaja kako bi se na njih instalirali rudari kriptovaluta. Ove radnje se mogu kvalificirati prema klauzuli upotrebe malware(član 273 Krivičnog zakona Ruske Federacije). Dakle, oficiri FSB-a priveden je sistem administrator Centra za kontrolu misije. Ugradio je rudare na radnu opremu i obogatio se. Napadača su izračunali udari struje.

Hakeri će izvršiti DDoS napad na konkurenta. Tada mogu dobiti pristup njegovoj računarskoj snazi i rudariti bitcoin ili dva. Samo ti prihodi neće doći do kupca.