Rünnak, mille jooksul kasutajad ei pääse muid ressursse, nimetatakse DDOS-i rünnakuks või "hooldus" probleemiks. Selliste häkkerirünnakute peamine omadus on samaaegsed taotlused suure hulga arvutitest üle maailma ja nad on suunatud peamiselt hästi kaitstud ettevõtete või valitsusasutuste serveritele, harvemini - ühekordselt ärilistel ressurssidel.

Nakatunud arvuti muutub "zombide" sarnasuseks ja häkkerite sarnasuseks, kasutades mitmeid sadu ja seejärel kümneid tuhandeid selliseid "zombisid", põhjustavad ressursside ebaõnnestumist (säilitamisest keeldumine).

DDose rünnaku põhjused võivad olla palju. Proovime määrata kõige populaarsem ja samal ajal vastata küsimustele: "DDOS rünnak - mis see on, kuidas ennast kaitsta, millised on selle tagajärjed ja milliseid vahendeid see toimub?"

Konkurents

Internet on juba ammu olnud äriideede allikas, suurte projektide rakendamine ja muud võimalused väga üsna suureks raha teenimiseks, nii et DDOS-i rünnak saab tellida. See tähendab, et kui organisatsioon soovib selle võistleja korral eemaldada, siis on lihtsalt ühendust võtta Khakura (või sellise rühmaga) lihtsa ülesande poole - soovimatu ettevõtte töö halvata internetiressursside kaudu (DDOS) rünnak serverile või saidile).

Sõltuvalt konkreetsetel eesmärkidel ja ülesannetest on see rünnak kehtestatud teatud aja jooksul ja kasutades asjakohast jõudu.

Pettus

Sageli korraldab DDOS-i rünnak kohapeal häkkerite algatusel, et blokeerida süsteemi ja juurdepääsu isiklikele või muudele olulistele allikatele. Pärast ründajate poolt süsteemi halvata, võivad nad nõuda rünnatud ressursside tulemuslikkuse taastamiseks mõnda raha.

Paljud Interneti-ettevõtjad nõustuvad laiendatud tingimustega, mis õigustavad oma tegevusi kolossaalsete kahjude töös ja vastuvõtmisel - see on lihtsam maksta väikest summat pettusena kui kaotada märkimisväärset kasumit iga päeva jooksul.

Meelelahutus

Paljud kasutajad on lihtsalt uudishimu või lõbu pärast huvitatud: "DDOS rünnak - mis see on ja kuidas seda teha?" Seetõttu on sageli juhtumeid, mil algaja sissetungijad lõbusate ja proovide huvides korraldavad selliseid rünnakuid juhuslike ressursside eest.

Koos põhjustega on DDOS-i rünnakud oma klassifikatsiooni märgid.

1. Ribalaius. Täna, peaaegu iga arvutipaika on varustatud või kohalik võrkVõi lihtsalt ühendatud Internetiga. Seetõttu on sageli võrgu üleujutuse juhtumeid - suur hulk taotlusi valesti moodustatud ja mõttetu süsteemiga konkreetsetele ressurssidele või seadmetele, et järgida järgnevat keeldumist või ebaõnnestumist. kõvakettad, Mälu jne).
2. Väljasüsteem. Selline DDOS-i rünnak SAMP-serveris toimub pildistamiseks füüsiline mälu, protsessori aeg ja muud süsteemi ressursid, mille tõttu rünnatud objekti puudumine ei ole lihtsalt võimalik täielikult töötada.
3. Jahutus. Lõpmatu andmete test ja muud tsüklid tegutsevad "ringi" sunnib objekti kulutada palju ressursse, võttes mälu täieliku ammendumise.
4. Vale rünnakud. Selline organisatsioon on suunatud kaitsesüsteemide vale vastuse, mis lõppkokkuvõttes toob kaasa teatud ressursside blokeerimise.
5. HTTP-protokoll. Häkkerid saadavad vägivaldseid http-pakette spetsiaalse krüpteerimisega, ressurss, looduslikult, ei näe, et DDOS-i rünnakut korraldatakse selle kohta, serveri jaoks, kes täidab oma tööd, viitab palju suurema võimsusega vastusepakettidele, võttes seeläbi ribalaiust ohvri, mis viib taas, teenuste ebaõnnestumiseni.
6. Smourf rünnak. See on üks ohtlikumaid liiki. Hacker kaudu ringhäälingukanali saadab ohvri võltsitud ICMP paketi, kus ohvri aadress asendatakse ründaja aadressi ja kõik sõlmed hakkavad saatma vastuse Ping taotluse. See DDOS rünnak on suure võrgu kasutamisele suunatud programm, st 100 arvutiga töödeldud taotlus on 100 korda tugevdatud.
7. UDP-üleujutus. Seda tüüpi rünnak on midagi sarnast, kuid ICMP pakettide asemel kasutavad sissetungijad UDP-pakette. Selle meetodi olemus on asendada ohvri IP-aadress häkkeri aadressile ja alla laadida täielikult ribalaiust, mis toob kaasa ka süsteemi rikke.
8. Syn-üleujutus. Ründajad püüavad samaaegselt käivitada suure hulga TCP-ühendusi vale või mitte lubatud Syn-kanali kaudu vastupidine aadress. Pärast mitmeid selliseid katseid kõige rohkem operatsioonisüsteemid Järjekorras on probleemiühendus seatud ja alles pärast ENONi üritavate katsete arvu. Syn Channel Stream on üsna suur ja varsti pärast mitmesuguseid selliseid katseid, ohvri tuum keeldub uue ühenduse avamisest, blokeerides kogu võrgu toimimise.
9. "Rasked paketid". See liigi annab vastuse küsimusele: "Mis on DDos-rünnaku server?" Häkkerid saadavad kasutaja serverisse paketid, kuid ribalaiuse küllastumine ei toimu, toiming on suunatud ainult protsessori ajaks. Selle tulemusena viivad sellised paketid süsteemi ebaõnnestumiseni ja selle omakorda oma ressurssidele.
10. Logi failid. Kui tsitaat ja rotatsiooni süsteem on palja kott, ründajad saavad saata suure mahu paketid, seeläbi kogu vaba ruumi jäik valiud serveris.
11. Programmi kood. Ulatuslike kogemustega häkkerid võivad täielikult uurida ohvri serveri struktuuri ja käivitada spetsiaalsed algoritmid (DDOS rünnak - plahvatusprogramm). Sellised rünnakud on peamiselt suunatud erinevate valdkondade ja piirkondade ettevõtete ja organisatsioonide hästi kaitstud kaubandusprojektidele. Ründajad leiavad programmi kood ja käivitavad kehtetuid juhiseid või muid erakorralisi algoritme, mis viivad süsteemi või teenuse erakorralise peatamiseni.

DDOS rünnak: mis see on ja kuidas kaitsta

DDOS-rünnaku kaitsemeetodid on palju. Ja kõiki neid saab jagada neljaks osaks: passiivne, aktiivne, reaktiivne ja ennetav. Mida me järgmisel rohkem räägime.

Hoiatus

Siin peate vältima otseselt põhjuseid, mis võivad tekitada DDose rünnakut. Seda tüüpi saab seostada mõnele isiklikule vaenuliksusele, õiguslikele erimeelsustele, konkurentsile ja teistele teguritele, mis provotseerivad "suurenenud" tähelepanu teile, teie ettevõttele jne.

Kui õigeaegselt vastata nendele teguritele ja teha asjakohaseid järeldusi, siis palju ebameeldivaid olukordi saab vältida. Seda meetodit saab seostada pigem probleemide kui probleemi tehnilisele poolele.

Vastuse meetmed

Kui teie ressursside rünnakud jätkuvad, on vaja leida oma probleemide allikat - klienti või kunstnikku, kasutades nii kokkupuute õiguslikke kui ka tehnilisi hoonet. Mõned ettevõtted pakuvad teenuseid sissetungijate leidmiseks tehnilisel viisil. Selle küsimusega tegelevate spetsialistide kvalifikatsiooni põhjal mitte ainult DDOS-i rünnakut kasutav häkker, vaid ka otse klient ise.

Tarkvara kaitse

Mõned riist- ja tarkvaratootjad koos oma toodetega võivad pakkuda üsna palju tõhusaid lahendusi ja DDOS-i rünnak kohapeal peatatakse toitmise teel. Eraldi väike server, mille eesmärk on võidelda väikeste ja keskmise ddose rünnakute vastu võitlemiseks, võib olla tehniline kaitsja.

See otsus sobib ideaalselt väikestele ja keskmise suurusega ettevõtetele. Suuremate ettevõtete, ettevõtete ja valitsusasutuste jaoks on DDOS-i rünnakute vastu võitlemiseks terved riistvara kompleksid, mis koos kõrge hinnaga on suurepärased kaitseomadused.

Filtreerimine

Lukustamine ja põhjalik filtreerimine sissetuleva liikluse võimaldab mitte ainult vähendada tõenäosust rünnak. Mõnel juhul võib serveri DDOS-i rünnakut täielikult välistada.

Liikluse filtreerimiseks saate valida kaks peamist viisi - tulemüürid ja täielik marsruutimine nimekirjas.

Filtreerimine nimekirjade abil (ACL) võimaldab teil katkestada sekundaarprotokollid ilma TCP töö häirimata ja ilma kaitsealusele juurdepääsu kiiruse vähendamiseks. Siiski, kui häkkerid kasutavad botnetid või kõrgsageduslikud taotlusedT. see meetod See on ebaefektiivne.

On palju parem kaitsta DDOS-i rünnakute eest, kuid nende ainus miinus on see, et need on mõeldud ainult era- ja mittetulundusvõrgustike jaoks.

Peegel

Selle meetodi olemus on ümber suunata kogu ründaja sissetuleva liikluse tagasi. Seda saab teha, millel on võimas serverid ja pädevad spetsialistid juuresolekul, mis mitte ainult suunata liiklust, vaid suudab tegeleda ründaja seadmetega.

Meetod ei sobi, kui süsteemiteenuste, programmi koodide ja muude võrgurakenduste puhul on vigu.

Otsi haavatavusi

Seda tüüpi kaitse eesmärk on parandada veebirakenduste ja süsteemide ärakasutamist, tõrkeotsingu vigu ning muid võrguliikluse eest vastutavaid teenuseid. Meetod on kasutu vastuutusrünnakute vastu, mis on suunatud haavatavuse andmetele.

Kaasaegsed vahendid

100% kaitse tagatis See meetod ei saa. Kuid see võimaldab teil tõhusamalt teha muid üritusi (või kompleksi selliseid), et vältida DDOS-i rünnakuid.

Süsteemide ja ressursside jaotus

Ressursside dubleerimine ja süsteemide jaotamine võimaldab kasutajatel oma andmeid töötada, isegi kui praegu on DDOS-i rünnak teie serveris. Jaotamiseks saate kasutada erinevaid serverit või võrguseadmeid ning samuti soovitatakse jagada teenuseid füüsiliselt erinevates duplikaatsüsteemides (kuupäevakeskustes).

Selline kaitsemeetod on täna kõige tõhusam, tingimusel et õige arhitektuuri disain loodi.

Kõrvalehoidumine

Selle meetodi peamine omadus on rünnatud objekti väljund ja eraldamine (domeeninime või IP-aadress), st kõik samas kohas töötavad töövahendid tuleb jagada ja paigutada kolmanda osapoole võrgu aadressidele või isegi territooriumil teine \u200b\u200briik. See võimaldab teil ellu jääda mis tahes rünnaku ja hoida sisemise IT-struktuuri.

DDos-rünnaku kaitseteenused

Pärast seda, kui ütlen kõike sellise rünnaku kohta, nagu DDose rünnak (mis see on ja kuidas sellega toime tulla), saame lõpuks anda ühe hea nõu. Paljud suured organisatsioonid pakuvad oma teenuseid selliste rünnakute vältimiseks ja ennetamiseks. Enamasti kasutavad sellised ettevõtted kogu meetmeid ja erinevaid mehhanisme, mis võimaldavad teil oma äri kõige DDOS-i rünnakute eest kaitsta. Eksperdid ja Incoisseurs töötab seal, seetõttu, kui teie ressurss olete kallis, valik on optimaalne (ehkki) kaebus ühele sellisele ettevõttele.

Kuidas teha DDOS-i rünnakut oma kätega

See on teadlik, see tähendab relvastatud - õige põhimõte. Kuid pidage meeles, et DDOS-i rünnakute tahtlik korraldus on üksnes või isikute rühm - kuritegu, seetõttu pakutakse see materjal üksnes tutvumiseks.

American IT ohtude ennetamise töötajad on välja töötanud programmi, et testida serveride koormuste stabiilsust ja ründajate ddos-rünnakute võimalust selle rünnakute kõrvaldamisega.

Loomulikult pöördus "kuumad" meeled selle relva arendajate vastu ja vastu, mida nad võitlesid. Toote kood nimi - Loic. See programm on vaba juurdepääs ja põhimõtteliselt ei ole seadusega keelatud.

Programmi liides ja funktsionaalsus on üsna lihtne, see võib ära kasutada igaüks, kes on huvitatud DDOS-i rünnakust.

Kuidas teha kõike ise? Liidese löögis on piisav IP-ohvritele sisenemiseks, seejärel seada TCP ja UDP ojad ning taotluste arv. Voila - Pärast Cheriseeritud nupu vajutamist hakkas rünnak!

Kõik tõsised ressursid loomulikult ei kannata selle tarkvara, kuid väike võib tekkida probleeme.

Qrator Labs, mis on spetsialiseerunud DDOS-i rünnakute vastu võitlemisele ja Interneti-ressursside kättesaadavusele, salvestasid suure kiirusega DDOS-i rünnakute fakt suurimate veebiressursside abil, kasutades MEMCACHA-põhiseid amplifikatsioonitehnikaid (tarkvara, mis rakendab andmete vahemällu salvestamist muutmälu Põhineb Hash tabelis).

Alates 23. veebruarist 27, 2018 valtsitud MEMCache laine kogu Euroopas amplifitseeritud DDOS rünnakud. Sellise rünnaku tehnikat on kuulata UDP liiklusratasemeid, mille suhtes kohaldatakse vaikimisi membrache parameetrite paigaldamist, st UDP-i üleujutust kasutatakse tegelikult - võltsitud UDP pakettide kogumi saatmine ajaühiku kohta mitmest uurimisperioodist aadressid.

MemCache turvaprobleemid on teada vähemalt alates 2014. aastast, aga 2018. aastal avaldas see haavatavus ise eriti eredalt: 25.-26. Veebruari öösel on Qrator Labsi spetsialistid täheldanud kogu internetis, sealhulgas rünnakuid Venemaa suurimad võrguressursid.

2017. aastal rääkis Hiina okee meeskonna teadlaste rühm võimalust korraldada selliseid rünnakuid, osutades nende potentsiaalselt hävitavale jõudle.

Viimase paari päeva jooksul kinnitasid paljud allikad, et rünnakud amplifitseerisid membrache ressurssidest, rünnakute vastu vastuste vastu DNS-i ja NTP-st. Nende rünnakute allikad olid suur OVH-pakkuja ja suur hulk väiksemaid Interneti-teenuse pakkujaid ja hostreid.

Üks ettevõtte Qrator Labsi kliente - maksesüsteem Qiwi kinnitab fakti edukalt neutraliseeritud rünnaku 480 Gbps Band / s UDP liikluse oma ressursside kompromissitud MemCache võimendid.

"Kaasaegsed tehnikad DDOS-i rünnakute rakendamiseks ei seisne veel. Üha me parandame uue "broys" tekkimist interneti infrastruktuuris, mida ründajad rünnakute rakendamiseks kasutavad edukalt. Rünnakud MEMCACHE abil, mille kiirus saavutas mitusada GB / s, sai kinnitati, - kommentaarid peadirektori ja asutaja Qrator Labs Alexander Lyamin. - haavatavad membrache ressursid internetis tohutu summa ja soovitame tungivalt tehnilisi spetsialiste membrache õige konfiguratsiooni tegemiseks, unustamata vaikimisi seadmetest. See aitab vältida kuulamise kogu UDP liiklust saadetakse server ja vähendada tõenäosust DDOS-rünnakute. "

Umbes Qrator Labs

Qrator Labs - number üks DDOS vastu võitlemine Venemaal (vastavalt IDC Venemaa anti-DDOS teenuste turg 2016-2020 prognoos ja 2015 analüüs). Ettevõte asutati 2009. aastal ja pakub teenuseid DDOS-i rünnakute vastu võitlemiseks WAF-i (veebirakenduste tulemüüri) lahendustega Wallarmi partnertehnoloogia korraldatavate lahendustega. DDOS-i rünnakute tõhusaks võitlemiseks kasutab Qrator Labs Qrator.radari enda ülemaailmseid seireandmeid. Qratori filtreerimisvõrk ehitatakse USAs, Venemaal, ELis ja Aasias asuvatesse sõlmedesse, mis koos oma filtreerimisalgoritmidega on ettevõtte konkurentsieelis.

See organisatsioon pakub lisaks domeeninimede registreerimisele tsoonides.tril ka peamise sideme Türgi ülikoolidesse. Anonüümse Anonymouse'i saavutajad, kes süüdistavad Türgi juhtpositsiooni ISIL toetusel vastutust.

DDOSi esimesed märgid avaldus 14. detsembri hommikul, keskpäeval, viis Nic.tr Servers andis tajutud prügi liikluse rünnaku all kuni 40 GB / s. Probleem mõjutas ka küpset koordineerimiskeskust, pakkudes alternatiivi NIC.TR infrastruktuuri. Küpsete esindajad märkisid, et rünnak modifitseeriti sellisel viisil, et kõrvaldamine küpse kaitse.

Suuremahulised DDOS rünnakud muutuvad kõige rohkem tõhusalt Puhastage veebiteenuste töö - rünnakute maksumus väheneb pidevalt, mis võimaldab teil suurendada võimsust: vaid kahe aasta jooksul on DDOS-i rünnaku keskmine võimsus kasvanud neljaks ja on 8 GB / s. Seoses keskmise rünnaku väärtuste, riigi domeeni tsooni Türgi näeb kõrgeim, kuid eksperdid rõhutavad, et 400 GB / s taseme DDOS-rünnakud varsti muutuvad normiks.

Türgi rünnaku ainulaadsus on see, et ründajad valisid õige eesmärgi: keskendudes suhteliselt väikestele IP-aadressidele, nad suutsid praktiliselt ebaõnnestuda kogu riigi infrastruktuuri, kasutades ainult 40-Gigabit rünnakut.

Küberkijate Türgi riikliku reaktsioonikeskus blokeerisid kõik liikluse sisenevad Nic.tr serverid teistest riikidest, mistõttu kõik 400 tuhat Türgi saitide on muutunud ligipääsmatuks ja kõik sõnumid e-kiri saatjatele tagastatud. Hiljem otsustas keskus muuta taktikat, juhtides kahtlaste IP-aadresside selektiivse blokeerimise. DNS-serverid domeenide valdkonnas.

Rünnatud domeenid tagastasid internetis samal päeval, kuid paljud saidid ja postiteenused Veel mõned päevad töötavad katkestustega. Mitte ainult kohalikud ettevõtted ja valitsusasutused olid vigastatud, vaid ka paljusid riiklikke veebiressursse, mis valivad Zone.TR-i domeeninime; Agregaadil on see umbes 400 tuhat veebisaiti, millest 75% on ettevõtte. Türgi riiklik domeen kasutab ka haridusasutusi, omavalitsusi ja sõjaväge.

Kuigi "anonüümsed" ei teinud avaldust, paljud vinüülid venelaste DDoS-i ründamisel - Türgi ja Venemaa pingeliste suhete tõttu. Ühel ajal kahtlustati Venemaa häkkerid sarnaste põhjuste kaasamises suuremahuliste küberrünnakute kaasamises Eestis (2007), Gruusias (2008) ja Ukrainas (2014). Mõned eksperdid leidsid Türgi DDose vastuse Venelastele Türgi kübergrupide DDOS-i rünnakule Venemaa uudiste saidil "Satellite".

Anonüümse deklaratsiooni ilma aluse "Vene rada" hüpotees. Khaktivistid ähvardavad ka rünnata Türgi lennujaamade, pankade, valitsuse struktuuride ja sõjaliste organisatsioonide servereid, kui Türgi ei lõpe enam Igil'i abistamist.

Viimase kahe aasta ebastabiilne majanduslik olukord tõi kaasa turu konkurentsi võitluse taseme olulise suurenemise turul, mille tulemusena suurenes DDOS-rünnakute populaarsus - efektiivne meetod Majandusliku kahju rakendamine.

2016. aastal suurenes DDOS-rünnakute korraldamise kaubanduslike tellimuste arv mitu korda. Massiivsed DDOS-i rünnakud, mis on suunatud punktide poliitiliste mõjude piirkonnast, kuna see oli näiteks 2014. aastal massiivse ärisegmendi juurde. Ründajate peamine ülesanne on võimalikult kiiresti ja minimaalsete kuludega, et muuta ressursside kättesaamatuks selleks, et saada raha konkurentidest raha eest, et tagada väljapressimise tingimused jne DDOS-i rünnakud kasutatakse üha aktiivsemalt, mis stimuleerib otsingut Üha suuremahuliste ärikaitsevahendite jaoks.

Samal ajal kasvab rünnakute arv jätkuvalt, isegi hoolimata tähelepanelikust edusammudest DDOS-i vastu võitlemisel. Vastavalt Qrator Labs, 2015. aastal summa DDOS rünnakud suurenesid 100%. Ja see ei ole üllatav, sest nende kulud vähenesid umbes 5 dollarit tunnis ja nende rakendamise vahendid läksid massiivsele mustale turule. Me näitame mitmesuguseid hajutatud rünnakute põhisuundi, mille eesmärk on keelduda säilitamisest, mis on ette nähtud järgmise paari aasta jooksul.

Rünnake UDP amplifikatsiooni

Kanali võimsuse ammendumise rünnakud hõlmavad UDP amplifikatsiooni. Sellised vahejuhtumid olid 2014. aastal kõige levinumad ja sai 2015. aasta helgeks trendiks. Kuid nende arv on siiski jõudnud oma tippu ja järk-järgult läheb langusele - ressurss selliste rünnakute läbiviimiseks ei ole ainult lõplik, vaid ka järsult väheneb.

Võimendi all mõeldakse avalikkuse UDP teenust, mis töötab ilma autentimiseta, mida väikeses päringus saab saata rohkem kui suurema vastuse. Ründav, selliste taotluste saatmine asendab oma IP-aadressi ohvri IP-aadressile. Selle tulemusena pööratakse vastupidine liiklus, mis on palju suurem ründaja kanali ribalaiusega ohvri veebiressurss. Vale osalemise rünnakute, DNS, NTP-, SSDP- ja muud serverid kasutatakse.

Rünnakud veebirakenduste kohta L7-s

Tänu suurendamisele võimendite arv esirinnas uuesti, organisatsiooni rünnakud veebirakendusi L7 tasemel, kasutades klassikalisi botnetid. Nagu te teate, Botnet suudab teha võrgurünnakud kaugkäskude ja nakatunud arvutite omanikud ei pruugi seda kahtlustada. Teenuse "prügikasti" ülekoormuse tulemusena ei ole õigustatud kasutajate kaebuse taotlusi vastuseta vastuseta või vastused nõuavad mittevajandit kui palju aega.

Täna muutuvad botnetid intelligentsemaks. Sobivate rünnakute korraldamisel toetatakse täisbrauseri Stack tehnoloogiat, mis on kohandatud arvuti, brauseri, Java skripti täielik emulatsioon. Sellised tehnikad võimaldavad teil rünnakuid L7 täiesti varjata. Käsitsi eristada botit kasutajalt on peaaegu võimatu. See nõuab süsteemide kasutamist masinaõppe tehnoloogiat, tänu sellele, milliseid vasturünnakute taset suureneb, parandatakse mehhanisme ja testimise täpsust kasvab.

BGP-probleemid

2016. aastal ilmus uus trend - võrgu infrastruktuuri rünnakud, sealhulgas BGP haavatavuste kasutamise põhjal. Probleemid BGP marsruutimisprotokolli, mis põhineb kogu internetis, on tuntud mitu aastat, kuid viimastel aastatel nad üha enam tõsiseid negatiivseid tagajärgi.

InterMomis võrgu taseme marsruutimisega seotud võrgu anomaaliad suudavad mõjutada suurt hulka hosts, võrke ja isegi globaalset ühenduvust ja interneti kättesaadavust. Kõige tüüpilisemad probleemid on marsruudi lekked - marsruudi "leke", mis tekib selle väljakuulutamise tulemusena vales suunas. Kuigi BGP-i haavatavusi kasutatakse harva tahtlikult harva: sellise rünnaku korraldamise kulud on üsna kõrge ja intsidendid esinevad peamiselt banaalsete vigade tõttu võrgu seadetes.

Viimastel aastatel on aga organiseeritud kuritegude skaala internetis oluliselt suurenenud, mistõttu Qrator Labsi järgi on BGP-probleemidega seotud rünnakud juba lähitulevikus populaarsed. Hele näide on IP-aadresside "kaaperdamine" (kaaperdamine) tuntud kübergrupi häkkimismeeskonna "kaaperdamine", mis viidi läbi riigi järjekorras: Itaalia politsei vaja kontrollida mitmeid arvuteid, seoses nende omanikega, kellele uurimistoimingud võeti.

VahejuhtumidTCP.

TCP / IP-süsteemi võrgupakendis on mitmeid probleeme, mis juba praeguses aastal on eriti terav. Aktiivse kiiruse kasvu säilitamiseks tuleb internetiinfrastruktuuri pidevalt ajakohastada. Kiirus füüsilise seose Interneti kasvab iga paari aasta jooksul. 2000. aastate alguses. Standard oli 1 Gbit / s, tänapäeval on kõige populaarsem füüsilise liidese 10gbit / s. Uue füüsilise liite standardi massiline kasutuselevõtt, 100 Gbit / s, mis tekitab probleeme vananenud TCP / IP-protokolliga, mis ei ole mõeldud sellistele suurele kiirusele.

Näiteks muutub võimalikuks mõne minuti jooksul, et valida TCP järjestuse number - ainulaadne numbriline identifikaator, mis võimaldab (või pigem lubab) TCP / IP-partnereid, et teostada vastastikust autentimist ühenduse ja vahetusandmete paigaldamise ajal. , säilitades samal ajal oma tellimuse ja terviklikkuse. Kiirusel 100 GB / s liini TCP server logifailide avatud ühenduse ja / või andmed saadetakse üle selle, see ei taga, et fikseeritud IP-aadress tõesti installitud ühendus ja edastas need andmed. Sellest tulenevalt avab ta võimaluse uue klassi rünnakute korraldamiseks ning tulemüüride tõhusus võib oluliselt vähendada.

TCP / IP haavatavuste meelitada tähelepanu paljude teadlaste. Nad usuvad, et 2016. aastal kuuleme "valju" rünnakutest, mis on seotud nende "aukude" toimimisega.

Läheduses

Tänapäeval ei toimu tehnoloogiate ja ohtude arendamist "klassikalises" spiraalil, kuna süsteem ei ole suletud - seal on palju väliseid tegureid. Selle tulemusena saavutatakse laieneva amplituudiga spiraal - see tõuseb üles, rünnaku keerukus kasvab ja tehnoloogia katvus on oluliselt laienev. Pange tähele mitmeid tegureid, millel on tõsine mõju süsteemi arengule.

Nende peamine on kindlasti - ränne uue IPv6 transpordiprotokolli. 2015. aasta lõpus tunnistati IPv4 protokolli vananenud ja IPv6 tulevad esiplaanile, mis toob kaasa uusi väljakutseid: Nüüd on igal seadmel IP-aadress ja nad saavad kõik otseselt ühendada üksteisega. Jah, uued soovitused ilmuvad selle kohta, kuidas lõppseadmed peaksid töötama, kuid kuna tööstus toimetab kõik selle, eritiga, on masstoodete segment ja Hiina müüjad avatud küsimus. IPv6 muudab radikaalselt mängu reegleid.

Teine väljakutse on mobiilsidevõrkude, nende kiiruse ja "vastupidavuse" märkimisväärne suurenemine. Kui mobiilne botnet on tekitanud probleeme, esiteks, esmalt kommunikatsioonioperaator ise, nüüd, kui 4G ühendus muutub kiiremini kui traadiga internet, mobiilsidevõrgud, kus on suur hulk seadmeid, sealhulgas Hiina tootmist, muutuvad suurepäraseks platvormiks DDose ja häkkerrünnakute jaoks. Probleemid tekivad mitte ainult telekommunikatsiooni käitaja, vaid ka muu hulgas turuosaliste hulgas.

Tõsine oht on asjade interneti areneva maailma. Uued rünnakuvektorid ilmuvad, kuna häkkerite jaoks avatakse häkkerite jaoks suur hulk seadmeid ja traadita sidetehnoloogia kasutamist tõeliselt piiramatute perspektiivide jaoks. Kõik Interneti-seadmed ühendatud seadmed võivad saada osa sissetungijate infrastruktuurist ja osalevad DDOS-i rünnakutes.

Kahjuks ei taga alati võrguga ühendatud kodumasinate tootjad, kes on ühendatud võrguga (veekeetjad, telerid, autod, mitme valuutad, kaalud, "Smart" pistikupesad jne) alati nende kaitsetaset. Sageli kasutatakse sellistes seadmetes vanemate operatsioonisüsteemide vanemaid versioone ja müüjad ei hooli nende regulaarse värskenduse kohta - asendamine versioonidest, kus haavatavusi kõrvaldatakse. Ja kui seade on populaarne ja laialdaselt kasutatav, ei jäta häkkerid ära oma haavatavuste ärakasutamise võimalusest.

IOT-i probleemide hotbingerid ilmusid juba 2015. aastal vastavalt esialgsetele andmetele, viidi läbi viimane rünnak Blizzardi meelelahutuse abil IOT-klassi seadmete abil. Pahatahtliku koodi salvestati, toimides kaasaegsetel teekanartidel ja lambipirnidel. Häkkerite ülesanne lihtsustab kiibistikuid. Mitte nii kaua aega tagasi vabastati odav kiibistik, mis on ette nähtud erinevate seadmete jaoks, mis võivad Interneti-ühendust "suhelda". Seega ründajad ei pea häkkida 100 tuhat kohandatud püsivara - see on piisav, et "murda" üks kiibistik ja kasutada kõiki seadmeid, mis põhinevad.

Eeldatakse, et kõik nutitelefonid põhinevad vanematel android versioonidkoosneb minimaalsest botnetist. Kõik "SMART" pistikupesad, külmikud ja muud seadmed. Paari aasta pärast ootab see veekeetjate, radionia ja multikuroki botnet. "Asjade Internet" toob meid mitte ainult mugavuse ja lisavõimalusi, vaid ka palju probleeme. Kui asjad IOT-s on palju ja iga PIN-koodi saab saata 10 baiti, tuleb lahendada uued julgeolekuprobleemid. Ja see peaks olema täna valmis.

Sissejuhatus

Kohe teha broneering, et kui ma kirjutasin selle läbivaatamise, ma esmakordselt keskendunud publikule, demonteerimise eripära toimimise telekommunikatsiooni operaatorite ja nende andmeedastusvõrkude. Käesolevas artiklis kirjeldatakse DDOS-i rünnakute kaitse aluspõhimõtteid, nende arengu ajalugu viimasel kümnendil ja olukord on praegu.

Mis on DDOS?

Tõenäoliselt teab, mida DDose rünnak on täna teab, kas mitte iga "kasutaja", siis igal juhul - iga "see". Aga mõned sõnad peavad ütlema.

DDOS-i rünnakud (jaotatud teenistuse eitamine - levitamise Kellutuskella klammerdumised - Need on rünnakud arvutisüsteemide (võrguressursside või sidekanalite) rünnakud, mille eesmärk on muuta need õigustatud kasutajatele ligipääsetavad. DDOS-i rünnakud lähetatakse samaaegselt teatud ressursile suure hulga taotlusi ühelt või paljudes internetis asuvatest arvutitest. Kui tuhandeid kümneid tuhandeid või miljoneid arvuteid hakkavad üheaegselt alustama taotluste saatmist konkreetsele serverile (või võrguteenusele), ei kanna see serverit ega piisavat sidekanali ribalaiust sellesse serverisse. Mõlemal juhul ei saa Interneti-kasutajad serverisse kasutada rünnatud serverisse ega isegi kõigile blokeeritud sidekanali kaudu ühendatud serveritele ja muudele ressurssidele.

Mõned DDOS-i rünnakute omadused

Igaüks ja millisel eesmärgil on DDOS rünnakud käivitavad?

DDOSi rünnakuid saab töötada internetis esitatud ressursside vastu. Suurim kahju DDOS-rünnakud saavad organisatsioonid, kelle tegevus on otseselt seotud Internet - pangad (pakkudes internetipanga teenuseid), online shopping, kaubanduskohad, Oksjonid, samuti muud tegevused, mille tegevus ja tõhusus sõltub oluliselt Interneti esindamisest (Travel Airstrmid, lennuettevõtjad, seadmete tootjad ja tarkvara jne) DDOS-i rünnakuid, käivitatakse regulaarselt selliste hiiglaste ressursside vastu Maailma IT-tööstus, nagu IBM, Cisco süsteemid, Microsoft ja teised. Massiivsed DDOS rünnakud eBay.com vastu, Amazon.com, paljud kuulsad pangad ja organisatsioonid on täheldatud.

Väga tihti käivitatakse DDOS-i rünnakud poliitiliste organisatsioonide, institutsioonide või individuaalsete isikute veebi esinduste vastu. Paljud inimesed teavad massilistest ja pikaajalistest DDOS-i rünnakutest, mis käivitati Gruusia presidendi veebisaidi vastu 2008. aasta Gruusia-Osseetia sõja ajal (veebisait ei olnud saadaval mitu kuud alates 2008. aasta augustist), Eesti valitsuse serverite vastu (kevadel 2007, pronkssõduri üleandmisega seotud rahutuste ajal), Põhja-Korea võrgusegmendi perioodiliste rünnakute kohta Ameerika saitide vastu.

DDoSi rünnaku peamised eesmärgid on kas hüvitiste väljavõtmine (otsene või kaudne) väljapressimine ja väljapressimine või poliitiliste huvide tagakiusamine, olukorra heakskiidu, kättemaks.

Millised on käivitamismehhanismid DDOS-rünnakute eest?

Kõige populaarsem ja ohtlikum viis DDOS-i rünnaku käivitamiseks on botnetide kasutamine (botnetid). Botnet on palju arvutit, millel on paigaldatud spetsiaalsed tarkvara järjehoidjad (botid), tõlgitud inglise keelest on botide võrgustik. Botid on tavaliselt kujundatud häkkerite poolt iga botneti jaoks eraldi ja neil on peamine eesmärk saada taotlusi konkreetse Interneti-ressursi suunas Botneti juhtimise serverist - Botneti käsu ja juhtimisserverist saadud käsule. Botneti kontroller juhib häkkerit või isikut, kes ostis selle botneti häkrist ja võime juhtida DDose rünnakut. BOTS rakendub internetile mitmesugustel viisidel, reeglina - rünnakute rünnakute abil, millel on haavatavad teenused ja tarkvara järjehoidjad või kasutavad kasutajaid ja sunnimeetmeid, et paigaldada oma teenuseid või isegi tarkvara, mis toimib üsna kahjutu või isegi kasulik funktsioon. Bots levitamise meetodid on paljud, uued võimalused leiutatakse regulaarselt.

Kui Botnet on piisavalt suur - kümneid või sadu tuhandeid arvuteid - siis samaaegselt saatmine kõigist nendest arvutitest isegi üsna õigustatud taotlused teatud võrguteenuse suunas (näiteks veebiteenus konkreetses kohas) põhjustab ammendumise ressursside või teenuse või serveri enda või ammenduskanali võimalusi. Igal juhul ei ole teenus kasutajatele kättesaadav ja teenuse omanik kannab otse, kaudseid ja mainekaid kahjusid. Ja kui iga arvuti ei anna ühtegi taotlust ja kümneid, sadu ega tuhandeid taotlusi sekundis, suureneb löögijõu rünnak mitu korda, mis võimaldab isegi kõige tootlikumaid ressursse või kommunikatsiooni kanaleid teavitada.

Mõned rünnakud käivitatakse rohkem "kahjutu". Näiteks teatud foorumite kasutajate välklamp, mis kokkuleppel käivitatakse teatud aja jooksul "ping" või muude oma arvutite taotlustes konkreetse serveri suunas. Teine näide on linkide paigutamine veebisaidile populaarsete Interneti-ressursside veebisaidile, mis põhjustab kasutaja sissevoolu sihtserverile. Kui "Fake" link (väliselt näeb välja nagu link ühe ressursiga ja tegelikult viitab täiesti erineva serveriga) viitab väikese organisatsiooni veebisaidile, kuid postitatakse populaarsetele serveritele või foorumitele, näiteks rünnak võib põhjustada soovimatu saidi sissevoolu külastajate külastajad.. Viimase kahe tüüpi rünnakud toovad harva kaasa serverite kättesaadavuse lõpetamise korralikult organiseeritud hosting saitidele, kuid sellised näited olid ja isegi Venemaal 2009. aastal.

Kas traditsioonilised tehnilised vahendid DDOS-rünnakute eest kaitsmiseks aitab?

DDos-rünnaku tunnusjoon on see, et need koosnevad mitmesugustest samaaegsetest taotlustest, millest igaüks individuaalselt "on kergesti", lisaks need päringud arvutid (nakatunud botidega nakatunud), mis võib olla üsna tavaline, et kuuluda kõige tavalisem reaalne või rünnatud teenuse või ressursi potentsiaalsed kasutajad. Seetõttu on väga raske tuvastada, et DDOS-i rünnak on õigesti identifitseeritud ja filtreerige. Standardsüsteemid IDS / IPS-klass (sissetungimise tuvastamise / ennetamise süsteem - võrgu rünnaku avastamise / ennetussüsteem) ei leia nendes "kuritegevuse koosseisu" päringutest, ei saa aru, et nad on osa rünnakust, välja arvatud juhul, kui nad täidavad liikluse kvalitatiivset analüüsi anomaaliad. Ja isegi kui nad leiavad, siis mittevajalikud taotlused ei ole ka nii lihtsad - standardsed tulemüürid ja marsruuterid filtreerivad liiklust hästi määratletud juurdepääsu nimekirjade (kontrollieeskirjade) alusel ja ei tea, kuidas "dünaamiliselt" kohaneda konkreetne rünnak. Tulemüürid võivad reguleerida liiklusvoogusid, mis põhinevad sellistel kriteeriumidel nagu saatja aadressid. võrguteenused, sadamad ja protokollid. Kuid tavalised internetikasutajad osalevad DDOS-i rünnakutes, mis saadavad kõige tavalisemate protokollide taotlusi - ei ole sama kommunikatsioonioperaator, kes keelab kõike ja kõike? Siis ta lihtsalt lõpetab oma abonentidele sideteenuseid ja lõpetab nende poolt teenindatavate võrguressursside kättesaadavuse pakkumise, mis tegelikult saavutab rünnaku algataja.

Paljud spetsialistid on ilmselt teadlikud spetsiaalsete lahenduste olemasolust DDos-rünnakute eest kaitsmiseks, mida avastavad anomaaliad liikluses, ehitades liiklusprofiili ja rünnaku profiili ning dünaamilise mitmeast liikluse filtreerimise edasist protsessi. Ja ma räägin ka nendest otsustest käesolevas artiklis, kuid mõnevõrra hiljem. Ja kõigepealt kirjeldatakse mõningaid vähem tuntud, kuid mõnikord üsna tõhusaid meetmeid, mida saab aktsepteerida DDOS-i rünnakute pärssimiseks olemasolevate andmesidevõrgu ja selle administraatorite vahenditega.

Kaitse DDOSi rünnakute vastu Olemasolevad vahendid

Seal on üsna vähe mehhanisme ja "trikke", mis võimaldab mõnedel konkreetsel juhul DDOS-rünnakute mahasurumise. Mõned saab kasutada ainult siis, kui andmesidevõrk on ehitatud konkreetse tootja seadmetele, enam-vähem universaalsele seadmele.

Alustame Cisco süsteemide soovitustest. Selle ettevõtte spetsialistid soovitavad pakkuda võrgustiku fondi kaitset võrgustiku fondi kaitse kaitsmiseks, mis hõlmab võrguhalduse taseme kaitset (juhttasapind), võrguhalduse taseme (juhtimistasand) ja võrgu andmetasandil (andmepind).

Juhtmetasandi kaitse (juhtimisalus)

Termin "manustamistase" hõlmab kõiki liiklust, mis pakub juhtimis- või jälgimisrõngaid ja muid võrguseadmeid. See liiklus saadetakse ruuteri poole või pärineb ruuterist. Sellise liikluse näited on Telnet, SSH ja HTTP (d) istungid, Syslog-sõnumid, SNMP-poisid. Ühised parimad tavad hõlmavad järgmist:

Maksimaalse turvalisuse ja seireprotokollide turvalisuse tagamine, krüpteerimise ja autentimise kasutamine:

• sNMP V3 protokoll pakub kaitsevahendeid, samas SNMP V1 praktiliselt ei paku ja SNMP V2 pakub ainult osaliselt - ühenduse maksejõuetuse vaikimisi tuleb alati muuta;
• tuleks kasutada erinevaid avaliku ja erasektori väärtusi;
• telneti protokoll edastab kõik andmed, sealhulgas kasutajanimi ja parool avatud kujul (kui liiklus on kinni peetud, saab seda teavet kergesti alla laadida ja kasutada), soovitatav kasutada SSH V2 protokolli;
• sarnaselt kasutada HTTP asemel HTTPS-i juurdepääsu seadmete juurde; range riistvara juurdepääsu kontroll, sealhulgas piisav parool, tsentraliseeritud autentimine, autoriseerimine ja konto (AAA mudel) ja kohaliku autentimise broneerimiseks;

Juurdepääsu rollimängu rakendamine;

Kontroll lubatud ühenduste allikas aadressil kasutades juurdepääsu kontrolli nimekirjad;

Keela kasutamata teenused, millest paljud on vaikimisi lubatud (või nad unustasid pärast süsteemi diagnoosimist või loomist keelata);

Seadmete ressursside kasutamise jälgimine.

Viimase kahe punkti ta väärib viibib üksikasjalikumalt.
Mõned teenused, mis on vaikimisi lubatud või mis unustas välja pärast seadmete seadistamist või diagnoosimist välja lülitada, võivad sissetungijad kasutada olemasolevate ohutusreeglite möödumiseks. Nimekiri nendest teenustest allpool:

• Pad (pakettaasendaja / desambler);

Loomulikult, enne nende teenuste väljalülitamist peate hoolikalt analüüsima oma võrgu vajadust.

Soovitav on jälgida seadmete ressursside kasutamist. See võimaldab kõigepealt märkida ülekoormuse individuaalsed elemendid Võrgustikud ja võtta meetmeid õnnetuste vältimiseks ja teiseks avastada DDOS-i rünnakuid ja anomaaliaid, kui nende avastamist ei ole ette nähtud spetsiaalsete vahenditega. Minimaalselt on soovitatav jälgida:

• protsessori laadimine
• mälu kasutamine
• routerite liideste üleslaadimine.

Järelevalve võib olla "käsitsi" (seadmete seisundi perioodiliselt jälgimine), kuid see on parem teha paremaks teha spetsiaalsete võrguseire süsteemide või jälgimisega infoturbe (Viimane viitab Cisco Marsile).

Control lennuk (juhttasapind)

Võrgu juhtimise tase hõlmab kõiki teenuseid, mis tagab võrgu toimimise ja ühendamise vastavalt määratud topoloogiale ja parameetritele. Liikluskontrolli liikluse näited on järgmised: kõik liiklusega genereeritud või marsruutimisprotsessor (marsruudi protsessor - RR), sealhulgas kõigi marsruutimisprotokollide puhul, mõnel juhul - sSH protokollid ja SNMP, samuti ICMP. Iga rünnak marsruutimisprotsessori toimimise ja eriti DDOS-i rünnakute toimimise kohta, võivad kaasa toota olulisi probleeme ja katkestusi võrgu toimimises. Allpool on kirjeldatud parimaid tavasid kontrollitaseme kaitseks.

Kontrolltasandi politseitöö

Selle eesmärk on kasutada QoS-mehhanisme (teenuse kvaliteet - teenuse kvaliteet), et tagada kõrgem prioriteet kontrolltaseme kontrollitasemele kui kasutajaliiklusele (mille osa on rünnakud). See tagab tööprotokollide ja marsruutimisprotsessori töö, mis on võrgustiku topoloogia ja ühenduvuse säilitamine ning pakendite nõuetekohane marsruutimine ja vahetamine.

IP saab ACL-i

See funktsionaalsus võimaldab ruuteri ja marsruutimisprotsessori jaoks mõeldud teenuse liikluse filtreerimist ja juhtimist.

• see on juba rakendatud otse marsruutimisvarustus enne liikluse jõuab marsruutimisprotsessorisse, pakkudes "isikupärastatud" seadmete kaitset;
• rakendatud pärast liikluse möödumist tavapäraseid juurdepääsukontrolli nimekirju - on viimane kaitse tase marsruutimisprotsessorile;
• rakenda kõik liikluse (ja sise- ja välise ja transiidi võrguoperaatori võrgu).

Infrastruktuuri ACL

Tavaliselt on vaja juurdepääsu oma ruuteri seadmete aadressidele ainult oma võrguettevõtjate võrgu võõrustajatele, aga on siiski erandeid (näiteks EBGP, GRE, IPv6 IPv4 ja ICMP tunnelite üle. Infrastruktuuri juurdepääsu kontrollide nimekirjad:

• tavaliselt paigaldatud võrguoperaatori võrgu piirile ("võrgu sissepääsu juures");
• on ette nähtud väliste peremeeste juurdepääsu vältimiseks operaatori infrastruktuuri aadressile;
• pakkuda takistamatult transiidi liiklust operaatori võrgu piiril;
• pakkuda põhilisi kaitsemehhanisme volitamata võrgu aktiivsusest, mida on kirjeldatud RFC 1918, RFC 3330, eriti rämpside kaitses (spoofing, kasutades rünnaku alustamist võltsitud allika IP-aadressi kasutamist).

Naabri autentimine.

Naabruste ruuterite autentimise peamine eesmärk on takistada rünnakute rünnakute võltsimisprotokollide edastamist võrgus suunamise muutmiseks. Sellised rünnakud võivad kaasa tuua volitamata tungimist võrku, volitamata kasutamist. võrguressursid, samuti asjaolu, et ründaja tabab liiklust, et analüüsida ja saada vajalikku teavet.

BGP seadistamine.

• bGP eesliide filtreerimine (BGP eesliide filtrid) - Kasutatakse nii, et teave kommunikatsioonioperaatori sisevõrgu kohta ei levita internetti (mõnikord see teave võib ründaja jaoks olla väga kasulik);
• piirates mitmeid eesliiteid, mida saab aktsepteerida teise ruuteri (eesliite piiramine) - kasutatakse kaitsta DDOS rünnakud, anomaaliate ja puudusi Pyreerimispartner võrkudes;
• bGP-ühenduse parameetrite kasutamine ja nende filtreerimist saab kasutada ka marsruudi teabe jaotamise piiramiseks;
• bGP jälgimine ja BGP andmete võrdlemine täheldatud liiklusega on üks DDoSi rünnakute ja anomaalia varajase avastamise mehhanisme;
• parameetri TTL-i filtreerimine (aeg-Live) - kasutatakse BGP partnerite kontrollimiseks.

Kui rünnak BGP protokolli käivitatakse priveriotsapartnerivõrgust, kuid rohkem kaugvõrgust on TTL parameeter BGP pakettides väiksem kui 255. Saate konfigureerida telekommunikatsioonioperaatori piirterakereid nii, et nad kõrvaldaksid kõik BGP-paketid TTL-väärtusega.< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Andmetaseme kaitse (andmepind)

Hoolimata haldus- ja kontrollitasemete kaitse tähtsusest on enamik võrguoperaatori võrgustiku liiklusest selle operaatori abonentide andmeid, transiidi või avastatud.

Unicast Reverse Path Ekspedeerimine (URPF)

Sageli hakkavad rünnakud kasutama spoofing tehnoloogiat (spoofing) - allikas IP-aadressid on võltsitud nii, et rünnaku allikas on võimatu jälgida. Falsitud IP-aadressid võivad olla:

• tegelikult kasutatud aadressirühmast, kuid teises võrgusegmendis (segmendis, kus rünnak töötab, ei ole need võltsitud aadressid marsruutimises);
• selle võrgu kasutamata aadressruumis;
• alates aadressil, mis ei ole suunatud Internetis.

Rakendamine URPF-i mehhanismi ruuterid takistavad pakettide marsruudi allikate aadressidega, mis on vastuolus või kasutamata võrgu segmendis, millest nad sisenesid ruuteri liidesesse. See tehnoloogia võib mõnikord tõhusalt filtreerida soovimatut liiklust selle allikale kõige lähemal, st kõige tõhusamaks. Paljud DDOS-i rünnakud (sh kuulus Smurf ja tribal üleujutusvõrk) kasutavad juhtmetamismehhanismi ja pidevat allikate muutmist petta standardvahendid Kaitse ja filtreerimise liiklust.

Kasutades URPF mehhanismi pakutavate abonentide juurdepääsu Interneti tõhustama tõhusalt DDOS rünnakud kasutades räpaste tehnoloogia suunatud oma tellijatele Internetiressursside vastu. Seega on DDOS-i rünnak selle allikale kõige lähemal, mis on kõige tõhusamalt kõige tõhusamalt.

Remotenet vallandas Blackholes (RTBH)

Remotenet käivitanud Blackholes kasutatakse "tilk" (hävitamine, saates "mitte kuhugi") liikluse siseneb võrku marsruutides seda liiklust spetsiaalsetele Null 0 liidestele. Seda tehnoloogiat soovitatakse kasutada võrgupiiril DDos-liikluse rünnaku lähtestamiseks võrgu sisestatud. Selle meetodi piiramine (ja oluline) on see, et seda kohaldatakse kogu liikluse suhtes, mis on ette nähtud teatud vastuvõtvatele või võõrustajatele, mis on rünnaku eesmärk. Seega võib seda meetodit kasutada juhtudel, kus massiivne rünnak on kokku puutunud ühe või mitme peremehega, mis põhjustab probleeme mitte ainult rünnatud hostide jaoks, vaid ka teiste abonentide ja võrguettevõtja võrkude jaoks üldiselt.

Mustad augud saab juhtida nii käsitsi kui ka BGP-protokolli kaudu.

QoSi poliitika paljundamine BGP kaudu (QPPB)

QoS-i kontroll BGP kaudu (QPPB) on kliveerib konkreetse autonoomse süsteemi jaoks mõeldud liikluse prioriteetse poliitika juhtimiseks või IP-aadresside blokeerimiseks. See mehhanism võib olla väga kasulik teja suurtele ettevõtetele, sealhulgas soovimatute liiklus- või liikluse prioriteetsete tasemete haldamiseks DDOS-i rünnakut.

Valamuvad augud.

Mõnel juhul ei ole vaja mitte täielikult eemaldada liiklust mustade aukude abil, vaid eemaldada see peamistest kanalitest või ressurssidest hilisema jälgimise ja analüüsi jaoks. See on mõeldud selleks, et "kraanikanalid" või valamud augud on mõeldud.

Valamute augud kasutatakse kõige sagedamini järgmistel juhtudel:

• eemaldada poole ja analüüsi liikluse aadressid sihtkoha, mis kuuluvad aadressiruumi võrguoperaatori võrgustik, kuid samal ajal ei ole tegelikult kasutatud (ei seadmed ega kasutajad ei olnud esile tõstetud); Selline liiklus on a priori kahtlane, kuna see sageli tunnistab, et proovida oma võrku skannida või tungida ründaja, kellel puudub üksikasjalikku teavet selle struktuuri kohta;
• liikluse suunamiseks rünnaku eesmärgist, mis tegelikult toimiks ressursside operaatori võrgustiku, selle jälgimise ja analüüsi jaoks.

DDOS kaitse spetsiaalsete vahenditega

Cisco puhta torude kontseptsioon - tööstuse sport

Kaasaegne kaitse mõiste DDOS-rünnaku vastu on välja töötatud (jah, jah, te ei ole üllatunud! :)) Cisco Systems Company. Cisco väljatöötatud kontseptsioon nimetati Cisco puhtaks torudeks ("puhastatud kanalid"). Mõistes, mis on välja töötatud peaaegu 10 aastat tagasi, kirjeldati üksikasjalikult liikluse ebanormaalsete kõrvalekallete kaitse põhiprintsiipe ja tehnoloogiat, millest enamik kasutatakse tänapäeval, kaasa arvatud teised tootjad.

Cisco Clean Torud Kontseptsioon soovitab järgmisi DDOS rünnakute avastamise ja summutamise põhimõtteid.

Punktid on valitud (võrgu saidid), liiklus, mille analüüsitakse anomaalia identifitseerimiseks. Sõltuvalt asjaolust, et me kaitseme selliste punktidega, võib kommunikatsioonioperaatoriga kommunikatsioonioperaatori pyreerimisühendused olla kõrgemate ettevõtjatega, madalamate avalduste või abonentide ühenduspunktidega, kanalid andmekeskuste ühendamiseks võrguga.

Spetsiaalsed detektorid analüüsivad nende punktide liiklust, ehitage (uuring) liiklusprofiili oma tavapärases olekus, kui DDOS rünnak või anomaalia ilmub - tuvastada, uuringud ja dünaamiliselt selle omadused. Lisaks analüüsitakse teavet süsteemihalduri poolt ja pooleldi automaatses või automaatses režiimis, rünnaku summutamise protsess käivitatakse. Supressioon on see, et "ohvrile" mõeldud liiklus on dünaamiliselt ümber suunatud filtreerimisseadme kaudu, millele detektori poolt moodustatud filtrid ja selle rünnaku individuaalse iseloomu peegeldavad filtrid kasutatakse selle liiklusega. Puhastatud liiklus sisestatakse võrku ja saadetakse saajale (kuna puhtad torud pärineb - abonent saab "puhas kanal", mis ei sisalda rünnakut).

Seega hõlmab kogu DDOS-i rünnaku kaitsetsükkel järgmisi peamisi etappe:

• Liikluse koolitusjuhtimise omadused (profiilide koostamine, baasõpe)
• Tuvastamise tuvastamise avastamine ja anomaaliad (tuvastamine)
• Distributier ümbersuunamine läbida puhastusvahendi (diversiooni)
• Liiklus filtreerimine rünnakute mahasurumiseks (leevendamine)
• Sisestage liiklus võrku tagasi ja saatke adressaadi (süstimine).

N olulisi funktsioone.
Detektoridena võib kasutada kahte tüüpi seadistusi:

• Cisco süsteemide tootmise detektorid - Cisco liikluse anomaalia detektori teenuste mooduli teenuse moodulid mõeldud paigaldamiseks Cisco 6500/7600 šassii.
• Arbor Networks tootmise detektorid - Arbor Peakflow SP CP seadmed.

Allpool on tabel, mis võrdleb Cisco ja Arbori detektorit.

Parameeter	Cisco liikluse anomaalia detektor	Arbor Peakflow SP CP
Liiklusteabe saamine analüüsimiseks	Cisco 6500/7600 šassii jaoks eraldatud liikluse koopia	Netflow-andmed marsruuteritest saadud liikluse kohta on lubatud proovi reguleerida (1: 1, 1: 1 000, 1: 10 000 jne)
Kasutatud avastamise põhimõtted	Häire analüüs (kuritarvitamise tuvastamine) ja anomaaliate avastamine (dünaamilineprofiil)	Peamiselt anomaalia avastamine; Anarteeritud analüüsi kasutatakse, kuid allkirjad on üldised
Vormi tegur	service moodulid šassiis Cisco 6500/7600	eraldi seadmed (serverid)
Tulemuslikkus	Testige liiklust kuni 2 Gbps	Praktiliselt piiramatu (saate vähendada proovivõtusagedust)
Skaleeritavus	Paigaldamine kuni 4 moodulitCisco.DetektorSM. Üks šassii (aga moodulid tegutsevad üksteisest sõltumatult)	Võimalus kasutada mitmeid seadmeid ühes analüüsisüsteemis, millest üks on määratud juhtide olekule
Liikluse ja marsruudi jälgimine	Funktsionaalsus on praktiliselt puudub	Funktsionaalsus on väga arenenud. Paljud telekommunikatsioonioperaatorid ostavad Arbor Peakflow SP tõttu sügava ja arenenud funktsionaalne jälgimise liikluse ja marsruudi võrgu
Portaali pakkumine (abonendi individuaalne liides jälgida ainult võrgu suhtelist osa otse sellele)	Ei ole tagatud	Ette nähtud. See on selle lahenduse tõsine eelis, kuna kommunikatsioonihaldur saab oma abonentidele müüa individuaalseid DDOS-kaitseteenuseid.
Ühilduvad liikluspuhastusseadmed (rünnaku supressioon)	Cisco. Guard Services moodul.	Arbor Peakflow SP TMS; Cisco valvuriteenuste moodul.
	Andmekeskuste kaitse (andmekeskus) Interneti ühendamisel Abonendi võrkude allkasutajate jälgimine võrguoperaatori võrgustikule	Rünnakute avastamineÜlesvoolu- Ühendused võrguoperaator kõrgemate pakkujate võrkudele Võrguettevõtja jälgimine

Tabeli viimane rida näitab Cisco detektorite ja Avarbori kasutamist, mida soovitasid Cisco süsteemid. Skripti andmed kajastuvad järgmises skeemis.

Cisco liikluse puhastusseadmena on soovitatav kasutada Cisco valvuriteenuse moodulit, mis on paigaldatud Cisco 6500/7600 šassii ja Cisco detektori detektori või Arbor Peakflow SP CP-ga saadud käsk on dünaamiline ümbersuunamine, puhastamine ja vastupidine liikluse sisestamine võrku. Ümbersuunamismehhanismid on kas BGP uuendused suuremate ruuterite suunas või otsese juhtide suunas juhendaja suhtes, kes kasutavad varalisi protokolli. BGP-uuenduste kasutamisel tähistab ülesvoolu ruuterit rünnakut sisaldava liikluse uue Nex-hop väärtusega - nii et see liiklus langeb puhastusvahend. Samal ajal on vaja hoolitseda selle kohta, et see teave ei too kaasa silmuse korraldamist (nii, et allkasutaja ruuter ei püüa sellesse liiklust puhastada). Selleks, mehhanismid BGP-uuenduste jaotuse kontrollimiseks vastavalt ühenduse parameetrile või GRE-tunnelite kasutamisel puhastatud liikluse sisenemisel.

Selline olukord eksisteeris enne, kui Arbor Networks laiendasid märkimisväärselt tippflowi SP tootesarja ja ei läinud turule täiesti sõltumatu otsusega DDOS-i rünnakute eest kaitsmise kohta.

Arbor PeakFlow SP TMS välimus

Paar aastat tagasi otsustasid Arbor Networks arendada oma tootesari, et kaitsta DDOS-i rünnakute eest oma ja sõltumata selle suunda arendamise tempot ja poliitikat Ciscost. PeakFlow SP CP-lahendustel on Cisco detektori suhtes põhilised eelised, kuna nad analüüsisid vooluinfot võimalust reguleerida proovisagedust, mis tähendab, et võrgustike sideoperaatorite kasutamise piirangud ei olnud piiranguid võrkudes ja pagasikanalites (erinevalt Cisco-st Detektor, mis analüüsib liikluskoopiat). Lisaks oli tippflow SP tõsine eelis ettevõtjatele võimalust müüa üksikute seireteenuseid abonentidele ja kaitsta oma võrgusegmente.

Neid või muid kaalutlusi silmas pidades on Arbor märkimisväärselt laiendanud tippflow SP tootesarja. Mitmed uued seadmed ilmusid:

Peakflow SP TMS (ohuhaldussüsteem) - tarnib DDOS-i rünnakuid mitmeastmelise filtreerimisega, mis põhineb tippflow spoonusest saadud andmete põhjal ja ASERT Labilt, kes kuuluvad Arbor Networks ja DDOSi rünnakute jälgimine ja analüüsimine internetis;

PeakFlow SP BI (Business Intelligence)- seadmed, mis pakuvad süsteemi skaleerimist, suurendades loogiliste objektide arvu ja kogutud ja analüüsitud andmete koondamist;

Peakflow SP PI (portaali liidese)- seadmed, mis pakuvad abonentide suurendamist, kes on varustatud individuaalse liidesega oma ohutuse juhtimiseks;

PeakFlow SP FS (voolu tsenseerija)- Seadmed, mis tagavad abonentide ruuterite jälgimise, ühendused madalamate võrkude ja andmetöötluskeskustega.

Arbor Peakflow SP-süsteemi tööpõhimõtted jäi peamiselt sama, mis Cisco puhtad torud, kuid Arbhe regulaarselt arendab ja parandab nende süsteeme, nii et paljude parameetrite funktsionaalsus on paljude parameetrite funktsionaalsus parem kui Cisco, sealhulgas jõudlus.

Praeguseks maksimaalne jõudlus Cisco Guard Modets tuleb saavutada, luues 4 valvumooduli klastri ühes Cisco 6500/7600 šassiis, samas kui nende seadmete täielikku klastrit ei rakendata. Samal ajal on Arbor PeakFlow SP TMS-i ülemine mudelid võimsusega kuni 10 GB / s ja omakorda võib klastri klastri.

Pärast Arbor hakkas ennast iseseisva osalejana DDos-rünnakute avastamiseks ja mahasurumiseks asendama, hakkas Cisco otsima partnerit, kes annaks selle võrguliikluse voolu andmete vajaliku jälgimise, kuid see ei oleks otsene võistleja. Selline ettevõte on muutunud Narusele, mis toodab vooluandmebaasi seiresüsteemi (Naruseinsight) ja on sõlminud koostööd Cisco süsteemidega. See partnerlus ei saanud siiski turul tõsist arengut ja kohalolekut. Veelgi enam, mõnede sõnumite sõnul ei kavatse Cisco investeerida oma Cisco detektori ja Cisco valvurilahenduste investeerimist, jättes selle niši ettevõtte Arbor Networks'i ettevõttele.

Mõned funktsioonid Cisco ja Arbor lahendusi

Väärib märkimist mõned funktsioonid Cisco ja Arbor lahendusi.

1. Cisco valvurit saab kasutada nii detektoriga kui ka iseseisvalt. Viimasel juhul paigaldatakse see in-line režiimis ja täidab detektori funktsioone, mis analüüsib liiklust ja vajadusel pöörake filtreid ja puhastage liiklust. Selle režiimi miinus on see, et esiteks lisatakse täiendav punkt potentsiaalselt ebaõnnestumise ja teiseks täiendava liikluse viivituse (kuigi see on väikese, kui filtreerimismehhanism on sisse lülitatud). Soovitatav Cisco valvurimisrežiimi jaoks - ootab käsu ümbersuunamiseks, mis sisaldas rünnakut, filtreerimist ja selle sisestamist võrku tagasi.
2. Arbor Peakflow SP TMS-seadmed võivad töötada nii rambi režiimis kui ka in-line režiimis. Esimesel juhul ootab seade passiivselt käsk ümber suunata liiklust, mis sisaldab rünnakut puhastada ja sisestada see võrku tagasi. Teises jätab ta läbi ise kõik liikluse, toodab andmeid selle põhjal, mis põhineb selle alusel ja edastab need PeakFlow SP CP-le rünnakute analüüsimiseks ja tuvastamiseks. ARBORFLOW on netflowiga sarnane formaat, kuid lehtla, mis on paranenud selle tippflow sp süsteemide jaoks. Liikluse seire ja rünnakute tuvastamine TMS-andmete põhjal saadud peakollaflow SP CP-d. Kui rünnak tuvastatakse, annab Peakomprow SP CP operaator käsu oma supressioonile, mille järel TMS lülitub filtrite sisse ja kustutab rünnaku liikluse. Erinevalt Cisco-st ei saa peakomprow SP TMS server töötada iseseisvalt, see nõuab tippflow SP CP-serverit töötamiseks, mis teostab liikluse analüüsi.
3. Täna, enamik spetsialiste nõustuvad, et võrgu kohalike valdkondade kaitsmine (näiteks CD-de ühendamine või allavoolu võrkude ühendamine)