Üha sagedamini vilguvad hostiteenuse pakkujate ametlikes sõnumites siin-seal mainimised peegeldunud DDoS-i rünnakutest. Üha sagedamini võtavad kasutajad, olles avastanud oma saidi ligipääsmatuse, kohe DDoS-i. Tõepoolest, märtsi alguses koges Runet tervet selliste rünnakute lainet. Samas kinnitavad eksperdid, et lõbu alles algab. Nii kiireloomulist, hirmuäratavat ja intrigeerivat nähtust on lihtsalt võimatu ignoreerida. Nii et täna räägime müütidest ja faktidest DDoS-i kohta. Majutusteenuse pakkuja vaatevinklist muidugi.

Meeldejääv päev

20. novembril 2013 oli esimest korda meie ettevõtte 8-aastase ajaloo jooksul kogu tehniline sait enneolematu DDoS rünnaku tõttu mitu tundi kättesaamatu. Kannatada on saanud kümned tuhanded meie kliendid kogu Venemaal ja SRÜ riikides, rääkimata meist endist ja meie Interneti-teenuse pakkujast. Viimane asi, mida pakkuja suutis enne valge valguse tuhmumist kõigi jaoks parandada, oli see, et selle sisendkanalid olid sissetuleva liiklusega täielikult ummistunud. Selle visualiseerimiseks kujutlege oma vanni tavalise kraanikausiga, kuhu Niagara juga tormas.

Isegi ahela kõrgemal tasemel pakkujad on tundnud selle tsunami vastukaja. Allolevad graafikud illustreerivad selgelt, mis juhtus sel päeval Interneti-liiklusega Peterburis ja Venemaal. Pange tähele järske tippe kell 15:00 ja 18:00, just siis, kui me rünnakuid salvestasime. Nende äkiliste pluss 500-700 GB.

Rünnaku lokaliseerimiseks kulus mitu tundi. Arvutati välja server, kus see majutati. Seejärel arvutati välja ka internetiterroristide sihtmärk. Kas teate, keda kogu see vaenlase suurtükivägi tabas? Igaüks üks väga tavaline tagasihoidlik kliendisait.

Müüt number üks: "Rünnaku sihtmärk on alati hostiteenuse pakkuja. Need on tema konkurentide mahhinatsioonid. Mitte minu. " Tegelikult on Interneti-terroristide kõige tõenäolisem sihtmärk tavakliendi sait. See on ühe teie hosti naabri sait. Või äkki sinu oma.

Mitte kõik see DDoS...

Pärast sündmusi meie tehnilisel saidil 20. novembril 2013 ja nende osalist kordamist 9. jaanuaril 2014 hakkasid mõned kasutajad eeldama DDoS-i oma saidi privaatses rikkes: "See on DDoS!" ja "Kas teil on jälle DDoS?"

Oluline on meeles pidada, et kui seisame silmitsi sellise DDoS-iga, mida isegi kliendid tunnevad, anname sellest kohe ise teada.

Tahame paanikasse kiirustajatele rahustada: kui teie saidiga on midagi valesti, on tõenäosus, et tegemist on DDoS-iga, alla 1%. Lihtsalt tänu sellele, et saidiga võib palju asju juhtuda ja seda "palju asju" juhtub palju sagedamini. Räägime ühes järgmistest postitustest enesekiirdiagnostika meetoditest selle kohta, mis teie saidiga täpselt toimub.

Seniks teeme sõnakasutuse täpsuse huvides mõisted selgeks.

Tingimuste kohta

DoS-rünnak (inglise keelest teenuse keelamine) - See on rünnak, mille eesmärk on põhjustada serveri teenuse keelamist ülekoormuse tõttu.

DoS-rünnakud ei hõlma seadmete kahjustamist ega teabe vargust; nende eesmärk - panema serveri reageerimise lõpetama. Põhiline erinevus DoS-i vahel on see, et rünnak toimub ühest masinast teise. Osalejaid on täpselt kaks.

Kuid tegelikkuses me DoS-i rünnakuid praktiliselt ei jälgi. Miks? Kuna rünnakute sihtmärgid on enamasti tööstusrajatised (näiteks hostimisettevõtete võimsad tootlikud serverid). Ja selleks, et sellise masina tööd märgatavalt kahjustada, on vaja palju rohkem võimsust kui tema enda oma. See on esimene asi. Ja teiseks, DoS-rünnaku algatajat on üsna lihtne tuvastada.

DDoS - sisuliselt sama mis DoS, ainult rünnak on hajutatud loodus. Mitte viis, mitte kümme, mitte kakskümmend, vaid sajad ja tuhanded arvutid pääsevad samaaegselt samale serverile erinevatest asukohtadest. Sellist masinate armeed nimetatakse botnet... Klienti ja korraldajat on peaaegu võimatu arvutada.

Kaasosalised

Milliseid arvuteid robotvõrk sisaldab?

Teid üllatab, kuid sageli on need kõige tavalisemad koduautod. Kes teab? .. - tõenäoliselt teie koduarvuti kurja poolel ära viidud.

Selleks on vähe vaja. Ründaja leiab populaarsest haavatavuse operatsioonisüsteem või rakendust ja nakatab selle abiga Sinu arvuti troojalasega, mis teatud päeval ja tunnil annab Sinu arvutile korralduse teatud toiminguid tegema hakata. Näiteks saatke päringud konkreetsele IP-le. Muidugi ilma teie teadmiste ja osaluseta.

Müüt number kaks: « DDoS-i tehakse kuskil minust kaugel, spetsiaalses maa-aluses punkris, kus istuvad punaste silmadega habemega häkkerid. Tegelikult, seda teadmata, teie, teie sõbrad ja naabrid - igaüks võib olla tahtmatu kaasosaline.

See tõesti toimub. Isegi kui sa sellele ei mõtle. Isegi kui sa oled IT-st kohutavalt kaugel (eriti kui oled ITst kaugel!).

Meelelahutuslik häkkimine või DDoS-i mehaanika

DDoS-i nähtus on heterogeenne. See kontseptsioon ühendab palju tegevusvõimalusi, mis viivad ühe tulemuseni (teenusest keeldumine). Mõelgem probleemidele, mida DDoS-i kasutajad võivad meile esitada.

Serveri arvutusressursside liigne kasutamine

Seda tehakse pakettide saatmisega konkreetsele IP-le, mille töötlemine nõuab palju ressursse. Näiteks lehe laadimiseks peate täitma suure hulga SQL-päringuid. Kõik ründajad taotlevad seda konkreetset lehte, mis põhjustab serveri ülekoormamise ja teenuse keelamise saidi tavaliste seaduslike külastajate jaoks.
See on paar õhtut ajakirja Häkkeri lugemisele pühendanud koolipoisi tasemel rünnak. Ta ei ole probleem. Sama taotletud URL arvutatakse koheselt, misjärel juurdepääs sellele blokeeritakse veebiserveri tasemel. Ja see on vaid üks lahendustest.

Sidekanalite ülekoormus serverisse (väljapääsu juures)

Selle rünnaku raskusaste on umbes sama, mis eelmisel. Ründaja arvutab välja saidi kõige keerulisema lehe ja tema kontrolli all olev botnet hakkab seda massiliselt taotlema.

Kujutage ette, et Karupoeg Puhhi nähtamatu osa on lõpmatult suur
Sel juhul on ka väga lihtne aru saada, millega täpselt väljaminev kanal on ummistunud ja keelata juurdepääs sellele lehele. Sama tüüpi päringuid on lihtne näha spetsiaalsed kommunaalteenused mis võimaldavad teil vaadata võrguliides ja analüüsida liiklust. Seejärel kirjutatakse tulemüüri jaoks reegel, mis blokeerib sellised päringud. Seda kõike tehakse regulaarselt, automaatselt ja nii välkkiirelt, et enamik kasutajaid pole isegi rünnakust teadlikud.

Müüt number kolm: "A aga nad käivad minu võõrustajas harva ja ma märkan neid alati." Tegelikult ei saa te 99,9% rünnakutest näha ega tunda. Aga igapäevane võitlus nendega - see on hostimisettevõtte igapäevane rutiinne töö. See on meie reaalsus, kus rünnak on odav, konkurents on mastaapne ja mitte kõik ei demonstreeri diskrimineerimist päikese käes koha eest võitlemise meetodites.

Sidekanalite ülekoormus serverisse (sissepääsu juures)

See on juba mõistatus neile, kes on ajakirja Hacker lugenud rohkem kui ühe päeva.

Foto raadio "Moskva kaja" saidilt. Me ei leidnud midagi visuaalsemat, mis kujutaks DDoS-i sisendkanalite ülekoormusega.
Kanali täitmiseks sissetuleva liiklusega kuni tõrkepunktini peab teil olema botnet, mis suudab genereerida vajaliku koguse liiklust. Aga äkki on võimalus anda vähe liiklust, aga saada palju?

On, ja mitte üks. Rünnaku suurendamiseks on palju võimalusi, kuid praegu on üks populaarsemaid rünnak avalike DNS-serverite kaudu. Eksperdid nimetavad seda võimendusmeetodit DNS-i võimendamine(juhul, kui keegi on asjatundjatest rohkem huvitatud). Ja kui see on lihtsam, siis kujutage ette laviini: selle purustamiseks piisab väikesest pingutusest ja selle peatamiseks piisab ebainimlikest ressurssidest.

Sina ja mina teame seda avalik DNS-server soovi korral teavitab kõiki, kes soovivad teada mis tahes domeeninimest. Näiteks küsime selliselt serverilt: rääkige mulle domeenist sprinthost.ru. Ja ta jätab kõhklemata meile kõik, mida ta teab.

DNS-serveri päringu esitamine on väga lihtne toiming. Temaga ühendust võtmine ei maksa peaaegu midagi, taotlus on mikroskoopiline. Näiteks nii:

Jääb üle vaid valida domeeninimi, mille teave moodustab muljetavaldava andmepaketi. Nii et algsest 35 baidist saab kerge käeliigutusega ligi 3700. Kasvu on rohkem kui 10 korda.

Kuidas aga veenduda, et vastus on suunatud õigele IP-le? Kuidas võltsida päringu allika IP-d nii, et DNS-server annaks vastused ohvri suunas, kes andmeid ei küsinud?

Fakt on see, et DNS-serverid töötavad UDP sideprotokoll, mis ei nõua päringu allika kinnitamist üldse. Sellisel juhul pole väljamineva IP võltsimine kasutaja jaoks suurem asi. Seetõttu on seda tüüpi rünnak praegu nii populaarne.

Kõige tähtsam on see, et sellise rünnaku läbiviimiseks piisab väga väikesest botnetist. Ja mitu laiali avalik DNS, kes ei näe midagi imelikku selles, et erinevad kasutajad nõuavad aeg-ajalt andmeid sama hosti aadressile. Ja alles siis sulandub kogu see liiklus üheks vooluks ja lööb ühe "toru" tihedalt kokku.

Doseerija ei saa teada sihtmärgi kanali võimsust. Ja kui ta ei arvuta õigesti oma rünnaku võimsust ega ummista kanalit serverisse korraga 100%, saab rünnaku kiiresti ja lihtsalt tagasi lükata. Kasutades kommunaalteenuseid nagu TCPdump on lihtne teada saada, et sissetulev liiklus pärineb DNS-ist, ja seda tulemüüri tasemel keelata. See valik - DNS-i liikluse vastuvõtmisest keeldumine - on kõigi jaoks seotud teatud ebamugavustega, kuid nii serverid kui ka neil olevad saidid jätkavad edukalt tööd.

See on vaid üks paljudest võimalustest rünnaku tõhustamiseks. Rünnakuid on palju teisigi, neist saame teinekord rääkida. Vahepeal tahaksin kokku võtta, et kõik eelnev kehtib rünnaku kohta, mille võimsus ei ületa serveri ribalaiust.

Kui rünnak on võimas

Kui ründevõimsus ületab serveri kanali võimsuse, juhtub järgmine. Interneti-kanal on koheselt ummistunud kuni serverini, seejärel hostimissaidini, selle Interneti-teenuse pakkujani, kõrgema taseme pakkujani ja nii edasi ja ülespoole (pikaajaliselt - kõige absurdsemate piirideni). ründejõud saab olema.

Ja siis see saabki globaalne probleem kõigi jaoks. Ühesõnaga, sellega pidime 20. novembril 2013 tegelema. Ja kui toimuvad suuremahulised šokid, on aeg sisse lülitada eriline maagia!

Midagi sellist näeb välja nagu eriline maagia.Selle maagia abil on võimalik arvutada välja server, millele liiklus on suunatud ja blokeerida selle IP internetipakkuja tasemel. Nii et see lõpetab kõnede vastuvõtmise sellele IP-le välismaailmaga sidekanalite kaudu (üleslingid). Tingimuste armastajad: eksperdid nimetavad seda protseduuri "Must auk", inglise keelest blackhole.

Sel juhul jääb rünnatud server 500-1500 kontoga ilma oma IP-st. Selle jaoks eraldatakse uus IP-aadresside alamvõrk, mille vahel on kliendikontod juhuslikult ühtlaselt jaotatud. Lisaks ootavad eksperdid rünnaku kordumist. See kordub peaaegu alati.

Ja kui see kordub, pole rünnatud IP-l enam 500–1000 kontot, vaid kümmekond või kaks.

Kahtlustatavate ring kitseneb. Need 10-20 kontot jaotatakse jällegi erinevatele IP-aadressidele. Ja jälle ootavad insenerid varitsuses rünnaku kordumist. Ikka ja jälle levivad kahtluse alla jäänud kontod erinevatele IP-aadressidele ja nii arvutatakse järk-järgult lähenedes välja ründe sihtmärk. Kõik muud kontod naasevad selleks ajaks tavapärasele tööle eelmisel IP-l.

Nagu selge, ei ole see kiire protseduur, selle rakendamine võtab aega.

Müüt number neli:"Kui on suur rünnak, pole minu võõrustajal tegevusplaani. Ta lihtsalt ootab, silmad sulgedes, millal pommitamine lõppeb, ja vastab minu kirjadele sama tüüpi vastustega.See pole nii: ründe korral tegutseb hostingu pakkuja plaanipäraselt, et see võimalikult kiiresti lokaliseerida ja tagajärjed likvideerida. Ja sama tüüpi kirjad võimaldavad teil edastada toimuva olemust ja samal ajal säästa ressursse, mis on vajalikud hädaolukorra kiireks väljatöötamiseks.

Kas tunneli lõpus paistab valgus?

Nüüd näeme, et DDoS-i aktiivsus kasvab pidevalt. Rünnaku tellimine on muutunud väga soodsaks ja kole odavaks. Propagandasüüdistuste vältimiseks ei tehta pruflinke. Kuid võtke meie sõna, see on nii.

Müüt number viis: „DDoS-rünnak on väga kallis sündmus ja selle tellimist saavad endale lubada vaid ärimagnaatid. Äärmisel juhul on see salateenistuste intriig! Tegelikult on sellised üritused muutunud äärmiselt kättesaadavaks.

Seetõttu pole põhjust eeldada, et pahatahtlik tegevus iseenesest vaibub. Pigem muutub see ainult tugevamaks. Jääb vaid relvi sepistada ja teritada. Mida me teeme, parandame võrgu infrastruktuuri.

Küsimuse juriidiline pool

See on DDoS-i rünnakute arutelu täiesti ebapopulaarne aspekt, kuna õhutajate tabamise ja karistamise juhtudest kuuleme harva. Siiski peaksite meeles pidama: DDoS-rünnak on kriminaalkuritegu. Enamikus maailma riikides, sealhulgas Vene Föderatsioonis.

Müüt number kuus: « Nüüd tean DDoS-ist piisavalt, tellin konkurendile puhkuse - ja mulle ei tule selle eest midagi!" Võimalik, et saabki. Ja kui see nii on, siis ei tundu seda vähe.

• DDoS-i loo linkimine maksesüsteem Abistada
• Põnev lõpp

Üldiselt ei soovita me kellelgi DDoS-i õela praktikaga tegeleda, et mitte tekitada õigluse viha ja mitte painutada oma karmat. Ja meie, tulenevalt oma tegevuse spetsiifikast ja suurest uurimishuvist, jätkame probleemi uurimist, valvet ja kaitsestruktuuride täiustamist.

PS:meil pole piisavalt sooje sõnu oma tänu väljendamiseks, nii et me lihtsalt ütleme"Aitäh!" meie kannatlikele klientidele, kes meid raskel päeval 20.11.2013 soojalt toetasid. Olete meie toetuseks öelnud palju julgustavaid sõnu

Arvutisüsteemis selle rikke viimiseks, st tingimuste loomiseks, mille korral süsteemi seaduslikud (õiguspärased) kasutajad ei pääse ligi süsteemi pakutavatele ressurssidele (serveritele) või on see juurdepääs raskendatud. "Vaenlase" süsteemi rike võib olla ka samm süsteemi valdamise suunas (kui tarkvara eriolukorras annab välja mingit kriitilist infot – näiteks versiooni, programmi koodi osa vms). Kuid sagedamini on see majandusliku surve mõõt: tulu teeniva teenuse seisak, teenusepakkujalt arved ja rünnaku vältimise meetmed tabavad oluliselt sihtmärki.

Kui rünnak viiakse samaaegselt läbi suurest arvust arvutitest, räägitakse sellest DDoS rünnak(inglise keelest. Hajutatud teenuse keelamine, hajutatud teenuse keelamise rünnak). Mõnel juhul käivitab tegeliku DDoS-i ründe ettekavatsematu tegevus, näiteks populaarsele Interneti-ressursile lingi paigutamine mitte eriti tootlikus serveris hostitud saidile (slashdot-efekt). Suur kasutajate sissevool põhjustab serveri lubatud koormuse ületamist ja sellest tulenevalt mõne jaoks teenuse keelamise.

DoS rünnaku tüübid

DoS-i tingimusel on mitu põhjust:

• Viga programmi koodis, mis toob kaasa juurdepääsu kasutamata aadressiruumi fragmendile, kehtetu käsu täitmise või muu käsitlemata erandolukorra, kui serveriprogrammi - serveriprogrammi ebanormaalne lõpetamine toimub. Klassikaline näide on nulli tagasipööramine (ingl. null) aadress.
• Kasutajaandmete ebapiisav valideerimine mis põhjustab lõpmatu või pika tsükli või protsessori ressursside suurenenud pikaajalise tarbimise (kuni protsessori ressursside ammendumiseni) või suure summa eraldamiseni muutmälu(kuni vaba mälu ammendumiseni).
• Üleujutus(ing. üleujutus- "üleujutus", "ülevool") - rünnak, mis on seotud suure hulga tavaliselt mõttetute või valesti vormindatud taotlustega arvuti süsteem või võrguseadmed, mis on suunatud või põhjustavad süsteemi ressursside – protsessori, mälu või sidekanalite – ammendumise tõttu süsteemirikke.
• II tüüpi rünnak- rünnak, mille eesmärk on põhjustada kaitsesüsteemi vale toimimist ja seeläbi viia ressursi kättesaamatuks.

Kui rünnak (tavaliselt üleujutus) viiakse läbi üheaegselt suurelt arvult IP-aadressidelt – mitmelt võrku hajutatud arvutilt –, siis sel juhul nimetatakse seda nn. jagatud teenuse keelamise rünnak ( DDoS).

Vigade ärakasutamine

Kasutada viitab programmile, tarkvarakooditükile või tarkvarakäskude jadale, mis kasutab ära tarkvara haavatavusi ja mida kasutatakse kübersüsteemi ründamiseks. DoS-i rünnakuni viivate, kuid näiteks "vaenlase" süsteemi kontrolli alla võtmiseks sobimatute rünnakute hulgas on tuntumad WinNuke ja Ping of death.

Üleujutus

Üleujutuse kui netiketi rikkumise kohta vt Üleujutus.

Üleujutus kutsuda välja tohutu voog mõttetuid taotlusi erinevatest arvutitest, et "vaenlase" süsteem (protsessor, RAM või sidekanal) tööga hõivata ja seeläbi ajutiselt keelata. Mõiste "DDoS-rünnak" on praktiliselt samaväärne mõistega "üleujutus" ja igapäevaelus kasutatakse mõlemat sageli vaheldumisi ("Flood the server" = "üle DDoS-server").

Üleujutuse tekitamiseks saab kasutada nii tavalisi võrguutiliite nagu ping (seda tuntakse näiteks Interneti-kogukond "Upyachka") kui ka eriprogramme. DDoS-i võimalused on sageli "õmmeldud" botnettidesse. Kui suure liiklusega saidil leitakse saidiülene skriptimise haavatavus või võimalus lisada pilte muudest ressurssidest, saab seda saiti kasutada ka DDoS-i rünnakuks.

Sidekanali ja TCP alamsüsteemi üleujutus

Iga arvuti, mis suhtleb välismaailmaga TCP / IP kaudu, on allutatud järgmist tüüpi üleujutustele:

• SYN-i üleujutus – seda tüüpi üleujutusrünnakute korral a suur hulk SYN paketid üle TCP (soovib ühenduse avamist). Samal ajal on rünnatava arvuti avamiseks saadaolevate pistikupesade (tarkvaravõrgu pesad, pordid) arv lühikese aja pärast ammendunud ja server lõpetab reageerimise.
• UDP üleujutus – seda tüüpi üleujutus ei ründa sihtarvutit, vaid selle sidekanalit. Interneti-teenuse pakkujad eeldavad mõistlikult, et UDP-paketid tuleks esmalt kohale toimetada ja TCP võib oodata. Suur hulk erineva suurusega UDP-pakette ummistab sidekanali ja TCP-protokolli kasutav server lakkab reageerimast.
• ICMP üleujutus - sama, kuid kasutades ICMP pakette.

Rakenduse taseme üleujutus

Paljud teenused on loodud nii, et väike päring võib põhjustada serveris suure arvutusvõimsuse tarbimise. Sel juhul ei rünnata mitte sidekanalit ega TCP alamsüsteemi, vaid teenust ennast (teenust) ennast – selliste "haigete" päringute tulv. Näiteks on veebiserverid haavatavad HTTP üleujutuse suhtes – veebiserveri keelamiseks saab kasutada lihtsat GET / või keerulist andmebaasipäringut, nagu GET /index.php?search=.<случайная строка> .

DoS rünnaku tuvastamine

Arvatakse, et DoS-rünnakute tuvastamiseks ei ole vaja spetsiaalseid tööriistu, kuna DoS-i rünnaku fakti ei saa tähelepanuta jätta. Paljudel juhtudel on see tõsi. Küll aga täheldati üsna sageli edukaid DoS rünnakuid, mida ohvrid märkasid alles 2-3 päeva pärast. Juhtus, et rünnaku negatiivsed tagajärjed ( üleujutus rünnakud) põhjustasid üleliigse Interneti-liikluse eest tasumiseks tarbetuid kulutusi, mis selgus alles Interneti-teenuse pakkujalt arve saamisel. Lisaks on paljud sissetungimise tuvastamise meetodid sihtmärgi lähedal ebaefektiivsed, kuid tõhusad võrgu magistraalvõrgus. Sel juhul on soovitav paigaldada tuvastussüsteemid sinna, mitte oodata, kuni rünnatav kasutaja seda märkab ja abi palub. Lisaks on DoS-rünnakute tõhusaks tõrjumiseks vaja teada DoS-rünnakute tüüpi, olemust ja muid omadusi ning tuvastussüsteemid võimaldavad teil seda teavet kiiresti hankida.

DoS-rünnaku tuvastamise meetodid võib jagada mitmeks suureks rühmaks:

• allkirjapõhine – põhineb kvalitatiivsel liiklusanalüüsil.
• statistiline – põhineb kvantitatiivsel liiklusanalüüsil.
• hübriid (kombineeritud) - mõlema ülaltoodud meetodi eeliste ühendamine.

DoS kaitse

DoS-rünnakute vastu suunatud meetmed võib jagada passiivseteks ja aktiivseteks, samuti ennetavateks ja reageerivateks.

Allpool on lühike nimekiri põhimeetodid.

• Ärahoidmine. Põhjuste ennetamine, mis sunnivad teatud isikuid korraldama ja läbi viima DoS ründeid. (Väga sageli on küberrünnakud tavaliselt isiklike kaebuste, poliitiliste, usuliste ja muude erimeelsuste, ohvri provotseeriva käitumise jms tagajärg.)
• Filtreerimine ja must auk. Liikluse blokeerimine ründavate masinate eest. Nende meetodite tõhusus väheneb, kui jõuate rünnaku sihtmärgile lähemale, ja suureneb, kui lähenete ründavale masinale.
• Vastupidine DDOS- rünnakuks kasutatud liikluse suunamine ründajale.
• Turvaaukude kõrvaldamine. Ei tööta vastu üleujutus- rünnakud, mille "haavatavus" on teatud süsteemiressursside lõplikkus.
• Ressursside kogumine. Absoluutset kaitset see loomulikult ei paku, kuid on heaks taustaks teist tüüpi kaitse rakendamiseks DoS rünnakute vastu.
• Dispersioon. Hajutatud ja dubleerivate süsteemide loomine, mis ei lõpeta kasutajate teenindamist, isegi kui mõned nende elemendid muutuvad DoS-rünnaku tõttu kättesaamatuks.
• Kõrvalehoidmine. Rünnaku vahetu sihtmärgi (domeeninime või IP-aadressi) teisaldamine teistest ressurssidest, mida sageli koos ründe otsese sihtmärgiga mõjutab.
• Ennetav reageerimine. Mõju allikatele, korraldajale või rünnakute juhtimiskeskusele nii tehislike kui ka organisatsiooniliste ja juriidiliste vahenditega.
• Seadmete kasutamine DoS-rünnakute tõrjumiseks. Näiteks DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® ja teised tootjad.
• Teenuse ostmine DoS-rünnakute eest kaitsmiseks. Asjakohane, kui üleujutus ületab võrgukanali ribalaiuse.

Vaata ka

Märkmed (redigeeri)

Kirjandus

• Chris Kaspersky Arvutiviirused seest ja väljast. - Peeter. - SPb. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
• Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Tüüpiliste võrkude turvarikkumiste analüüs = Intrusion Signatures and Analysis. - New Riders Publishing (inglise) SPb .: Kirjastus "Williams" (vene), 2001. - Lk 464. - ISBN 5-8459-0225-8 (vene), 0-7357-1063-5 (inglise)
• Morris, R.T= 4.2BSD Unixi TCP / IP tarkvara nõrkus. - Arvutusteaduse tehniline aruanne nr 117. – AT&T Bell Laborotories, veebruar 1985.
• Bellovin, S.M.= Turvaprobleemid TCP / IP-protokolli komplektis. - Computer Communication Review, Vol. 19, nr 2. – AT&T Bell Laborotories, aprill 1989.
• = deemon9 / marsruut / lõpmatus "IP-spooling Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Issue 48 .-- Guild Production, juuli 1996.
• = deemon9 / marsruut / lõpmatus "Project Neptune". - Phrack Magazine, Vol.7, Issue 48 .-- Guild Production, juuli 1996.

Lingid

• DoS rünnak Open Directory projekti lingikataloogis (

DDoS-rünnak (Distributed Denial of Service rünnak) on toimingute kogum, mis võib Interneti-ressursi täielikult või osaliselt keelata. Peaaegu iga Interneti-ressurss, näiteks veebisait, mänguserver või valitsuse ressurss, võib toimida ohvrina. Praegu on häkkeril peaaegu võimatu üksi DDoS-i rünnakut korraldada. Enamasti kasutab ründaja viirusega nakatunud arvutite võrku. Viirus võimaldab saada vajalikku ja piisavat kaugjuurdepääs nakatunud arvutisse. Selliste arvutite võrku nimetatakse botnetiks. Tavaliselt on botnetidel koordineeriv server. Otsustades ründe käivitada, saadab ründaja koordinaatorserverile käsu, mis omakorda annab kõigile märku pahatahtlike võrgupäringute tegemisest.

DDoS-i rünnakute põhjused

• Isiklik vaen

See põhjus on üsna tavaline. Mõni aeg tagasi paljastas sõltumatu teadusajakirjanik Brian Krebs suurima kohandatud DDoS-rünnete läbiviimise teenuse - vDOS-i - tegevuse. Teave esitati üksikasjalikult, mis põhjustas selle teenuse korraldajate vahistamise. Vastuseks algatasid häkkerid rünnaku ajakirjaniku ajaveebi vastu, mille võimsus ulatus 1 Tbit / s. Sellest rünnakust sai kõigi aastate võimsaim maailmas.

• Meelelahutus

Tänapäeval on üha lihtsam korraldada primitiivset DDoS-i rünnakut iseseisvalt. Selline rünnak oleks väga ebatäiuslik ja mitte anonüümne. Kahjuks ei tea enamik neist, kes otsustasid end "häkkerina" tunda, ei esimesest ega teisest. Paljud koolilapsed harjutavad aga sageli DDoS-i rünnakuid. Selliste juhtumite tagajärjed on väga erinevad.

• Poliitiline protest (haktivism)

Üks esimesi sotsiaalsetel motiividel rünnakuid oli DDoS-rünnak, mille korraldas 1996. aastal häkker Omega. Omega oli häkkerite koalitsiooni Cult of the Dead Crew (cDc) liige. Mõiste "hacktivism" on muutunud meedias populaarseks sotsiaalsel alusel toimuvate küberrünnakute sagenemise tõttu. Tüüpilised häkkijad on grupid Anonymous ja LulzSec.

• Ebaaus konkurents

Sellised motiivid on mänguserverite tööstuses tavalised, kuid jaekaubanduses on sellised juhtumid üsna tavalised. Piisav tõhus viis ebaaus konkurents, mis võib mainet rikkuda kauplemisplatvorm kui selle omanikud ei pöördu õigel ajal abi saamiseks spetsialistide poole. Seda motiivi saab teistest eristada kui kõige levinumat.

• Väljapressimine või väljapressimine

Sel juhul nõuab ründaja potentsiaalselt ohvrilt rahasummat rünnaku sooritamata jätmise eest. Või selle lõpetamiseks. Sageli langevad selliste rünnakute ohvriks suured organisatsioonid, näiteks 2014. aasta jooksul rünnati Tinkoffi panka ja IT-ressurssi Habrahabr, suurimat torrentijälgijat Rutracker.org (kuidas see oli?).

DDoS rünnakute tagajärjed

DDoS-i rünnakute tagajärjed võivad olla väga erinevad, alates teie serveri sulgemisest andmekeskuse poolt kuni ressursi maine ja kliendiliikluse täieliku kadumiseni. Paljud organisatsioonid valivad teadmatult raha säästmiseks hoolimatute turvateenuste pakkujaid, millest sageli kasu ei tule. Selliste probleemide vältimiseks soovitame pöörduda oma valdkonna spetsialistide poole.

Interneti ajalukku läinud rünnakud

Tehnoloogiline areng toimub hüppeliselt ning ründajad omakorda teevad kõik endast oleneva, et mitte paigal seista ning rakendada üha keerukamaid ja võimsamaid rünnakuid. Oleme koostanud lühikirjelduse kõige huvitavamatest juhtumitest, mis DDoS rünnakute ajalukku on läinud. Mõned neist võivad tänapäevaste standardite järgi tunduda tavalised, kuid nende toimumise ajal olid need väga ulatuslikud rünnakud.

Ping Of Dead. Rünnakumeetod, mis põhineb pingi käsul. See rünnak saavutas populaarsuse 1990. aastatel ebatäiuslike võrguseadmete tõttu. Rünnaku olemus seisneb ühe pingipäringu saatmises võrgusõlmele, samas kui paketi sisu ei sisalda standardseid 64 baiti, vaid 65535 baiti. Sellise paketi vastuvõtmisel ajas seadme võrgupinn üle ja põhjustas teenuse keelamise.

Rünnak, mis mõjutab Interneti stabiilsust. 2013. aastal langes Spamhaus 280 Gbps rünnaku ohvriks. Kõige huvitavam on see, et rünnakuks kasutasid häkkerid Internetist pärit DNS-servereid, mis olid omakorda väga koormatud suure hulga päringutega. Sel päeval kaebasid miljonid kasutajad lehtede aeglase laadimise üle teenuse ülekoormamise tõttu.

Rekordrünnak liiklusega üle 1 Tbps. 2016. aastal üritasid häkkerid meid rünnata pakettrünnakuga kiirusel 360 Mps ja 1 Tbps. Sellest näitajast on saanud kogu Interneti olemasolu rekord. Kuid isegi sellise rünnaku korral pidasime vastu ja võrgu koormus piiras võrguseadmete vaba ressurssi vaid pisut.

Tänapäeva rünnakute omadused

Jättes välja tipprünnakud, võib öelda, et rünnakute jõud kasvab igal aastal rohkem kui 3-4 korda. Ründajate geograafia muutub aasta-aastalt vaid osaliselt, sest see on tingitud maksimaalsest arvutite arvust konkreetne riik... Meie spetsialistide koostatud 2016. aasta kvartaliaruandest nähtub, et Venemaa, USA ja Hiina on robotite arvult rekordilised riigid.

Millised on DDoS-i rünnakute tüübid?

Praegu saab rünnakute tüübid jagada kolme klassi:

Kanalite ülevoolurünnakud

Seda tüüpi rünnak hõlmab ja;

Rünnakud, mis kasutavad võrguprotokolli virna turvaauke

Kõige populaarsemad ja huvitavamad seda tüüpi rünnakud on / rünnak,

Miks valida meid? Meie seadmed asuvad peamistes andmekeskustes üle maailma ja on võimelised tõrjuma rünnakuid kiirusega kuni 300 Gbps või 360 miljonit paketti sekundis. Samuti oleme korraldanud sisu edastamise võrgustiku () ja ebastandardsete rünnakute või hädaolukordade korral valves inseneridest koosnev personal. Seega, olles meie kaitse alla sattunud, võite olla kindel, et teie ressurss on ööpäevaringselt saadaval. Meid usaldavad: REG.RU, Argumenty i Fakty, WebMoney, Venemaa raadiovaldusfirma GPM ja teised korporatsioonid.

Liiklusanalüüsi või marsruutimisreeglite seadistamise abil saate end kaitsta vaid väikese arvu rünnakute eest. Mõnede rünnakute eest kaitsmise meetodid on toodud.

Te ei pea DDoS-i rünnakut tellima. Makske häkkeritele ja mõelge oma konkurentide paanikale. Kõigepealt direktori toolilt ja siis vanglavoodist.

Selgitame, miks häkkerite poole pöördumine on viimane asi, mida aus ettevõtja tegema peaks ja kuidas see ähvardab.

Kuidas teha DDoS-i rünnakisegi koolipoiss teab

Tänapäeval on DDoS-i rünnakute korraldamise tööriistad kõigile kättesaadavad. Algajate häkkerite sisenemisbarjäär on madal. Seetõttu on lühikeste, kuid tugevate rünnakute osakaal Venemaa saitidel suurenenud. Näib, et häkkerirühmad lihtsalt harjutavad oskusi.

Illustreeriv juhtum. 2014. aastal Haridusportaal Tatarstani Vabariik on läbi teinud DDoS rünnakud. Esmapilgul pole mõtet rünnata: see pole kommertsorganisatsioon ja temalt pole midagi küsida. Portaal pakub hindeid, tunniplaani ja nii edasi. Mitte rohkem. Kaspersky Labi eksperdid leidsid Vkontakte grupi, kus Tatarstani õpilased ja kooliõpilased arutlesid kuidas teha DDoS-i rünnak.

Noorte võitlejate kogukond Tatarstani Vabariigi süsteemiga

Tuletispäringud teemal "kuidas teha DDoS-i rünnak Tatarstani vastu" viisid küberturvalisuse eksperdid huvitava teadaanni. Esinejad leiti kiiresti ja pidigi kahjutasu maksma.

Varem rebisid nad päevikutest lehti välja, kuid nüüd häkivad saite

DDoS-i rünnakute lihtsuse tõttu võtavad need algajad vastu ilma moraaliprintsiipideta ja oma võimekust mõistmata. Samuti saavad nad klientide andmeid edasi müüa. DDoS-i ründajate noorendamine on ülemaailmne trend.

Kevad 2017 vanglakaristus sai Briti üliõpilane. Kui ta oli 16-aastane, lõi ta DDoS-i rünnakute programm Titanium Stresser. Britt teenis selle müügist 400 tuhat naelsterlingit (29 miljonit rubla). Selle DDoS-programmi abil viidi 2 miljonit rünnakut 650 tuhandele kasutajale üle kogu maailma.

Noorukid osutusid suurte DDoS-gruppide Lizard Squad ja PoodleCorp liikmeteks. Noored ameeriklased on välja mõelnud oma DDoS-programme, kuid kasutas neid mänguserverite ründamiseks, et saada võrgumängudes eeliseid. Nii nad leidsid nad.

Kas usaldada ettevõtte maine eilsetele koolilastele, otsustab igaüks ise.

Karistus eestDDoS programmidVenemaal

Kuidas teha DDoS-i rünnakhuvitatud ettevõtjatest, kes ei taha mängida konkurentsireeglite järgi. Need on Venemaa siseministeeriumi K osakonna töötajad. Nad püüavad esinejad kinni.

Venemaa seadused näevad ette karistuse küberkuritegude eest. Väljakujunenud praktika põhjal võivad DDoS-i rünnakus osalejad sattuda järgmiste artiklite alla.

Kliendid.Nende tegevus jääb tavaliselt alla- ebaseaduslik juurdepääs seadusega kaitstud arvutiteave.

Karistus:kuni seitsmeaastane vangistus või rahatrahv kuni 500 tuhat rubla.

Näide... Selle artikli alusel mõisteti süüdi Kurgani linna administratsiooni teabe tehnilise kaitse osakonna töötaja. Ta töötas välja multifunktsionaalse Meta programmi. Selle abiga kogus ründaja isikuandmeid 1,3 miljoni piirkonna elaniku kohta. Pärast - ta müüs pankadele ja inkassobüroodele. Häkker sai kaks aastat vangistust.

Esinejad.Reeglina karistatakse neid Vene Föderatsiooni kriminaalkoodeksi artikkel 273 – pahatahtlike arvutiprogrammide loomine, kasutamine ja levitamine.

Karistus.Kuni seitsmeaastane vangistus rahatrahviga kuni 200 tuhat rubla.

Näide.19-aastane üliõpilane Togliattist sai 2,5 aastat katseaega ja rahatrahvi 12 miljonit rubla. Kasutades DDoS-i rünnakute jaoks mõeldud programmid, mida ta üritas alla viia teabeallikad ja pankade veebisaidid. Pärast rünnakut pressis tudeng raha välja.

Hooletud kasutajad.Ohutuseeskirjade eiramise eest andmete säilitamisel karistatakse Vene Föderatsiooni kriminaalkoodeksi artikkel 274 - arvutiteabe ning teabe- ja telekommunikatsioonivõrkude säilitamise, töötlemise või edastamise eeskirjade rikkumine.

Karistus:kuni viieaastane vangistus või rahatrahv kuni 500 tuhat rubla.

Näide.Kui teabele juurdepääsu käigus varastati mingil viisil raha, kvalifitseeritakse artikkel ümber pettuseks arvutiteabe valdkonnas (). Seega kaks aastat paranduskoloonias said Uurali häkkerid, kes said ligipääsu pankade serveritele.

Rünnakud meedia vastu.Kui DDoS-i rünnakute eesmärk on rikkuda ajakirjandusõigusi, kuuluvad toimingud selle alla - ajakirjaniku seadusliku kutsetegevuse takistamine.

Karistus:vangistus kuni kuueks aastaks või rahatrahv kuni 800 tuhat rubla.

Näide.See artikkel liigitatakse sageli ümber raskemateks. Kuidas teha DDoS-i rünnak teadis neid, kes ründasid Novaja Gazetat, Ehho Moskvit ja Bolshoi Gorodit. Häkkerite ohvriks langevad ka piirkondlikud väljaanded.

Venemaal karm karistus kasutamise eest DDoS programmid ... Office "K" anonüümsus teid ei päästa.

Programmid DDoS-i rünnakute jaoks

Ekspertide sõnul piisab keskmise saidi ründamiseks 2000 robotist. DDoS-i rünnaku hind algab 20 dollarist (1100 rubla). Ründekanalite arv ja tööaeg arutatakse eraldi. On ka väljapressimisi.

Korralik häkker viib enne rünnakut läbi tungimistesti. Sõjavägi nimetaks seda meetodit "jõuluureks". Läbitungimistesti olemus on väike kontrollitud rünnak, et selgitada välja saidi kaitse ressursid.

Huvitav fakt.Kuidas teha DDoS-i rünnakpaljud teavad, aga häkkeri võimsuse määrab botnet. Kurjategijad varastavad sageli üksteiselt "armeede" juurdepääsuvõtmeid ja müüvad need seejärel edasi. Tuntud nipp on wi-fi "panemine" nii, et see sunniviisiliselt taaskäivituks ja naaseb põhiseadetele. Selles olekus on parool standardne. Seejärel saavad ründajad juurdepääsu kogu organisatsiooni liiklusele.

Uusim häkkeritrend on nutiseadmete häkkimine, et paigaldada neile krüptoraha kaevandajad. Need toimingud võivad kvalifitseeruda kasutusklausli alla pahavara(Vene Föderatsiooni kriminaalkoodeksi artikkel 273). Nii et FSB ohvitserid peeti kinni missiooni juhtimiskeskuse süsteemiadministraator. Ta paigaldas tööseadmetele kaevurid ja rikastas end. Ründaja arvutati voolutõusude järgi.

Häkkerid korraldavad konkurendi vastu DDoS-rünnaku. Siis saavad nad juurdepääsu selle arvutusvõimsusele ja kaevandavad bitcoini või kaks. Ainult need sissetulekud ei jõua kliendini.

DDoS-i rünnaku tellimise riskid

Teeme kokkuvõtte, kaaludes konkurentidele DDoS-i rünnakute tellimise eeliseid ja puudusi.

Kui äri ajab konkurendid närvi, siis häkkerid ei aita. Need teevad asja ainult hullemaks. Agentuur "Digital Sharks" soovimatut teavet seaduslikul teel.