حملات Macesed DDOS. در واقع یک حمله عظیم DDoS به بانک های روسی، FSB یک پرونده جنایی را باز کرد

حمله، که طی آن کاربران نمی توانند به منابع دیگری دسترسی پیدا کنند، یک حمله DDoS یا "شکست در تعمیر و نگهداری" نامیده می شود. ویژگی اصلی چنین حملات هکرها، درخواست های همزمان از تعداد زیادی از رایانه های موجود در سراسر جهان است و آنها عمدتا به سرورهای شرکت های محافظت شده یا سازمان های دولتی هدایت می شوند، کمتر - در منابع غیر تجاری غیر تجاری.

رایانه ای که آلوده شده است، شباهت "زامبی ها" را تغییر می دهد و هکرها با استفاده از چند صدها نفر، و سپس ده ها هزار نفر از چنین "زامبی ها"، باعث شکست منابع (امتناع از حفظ) می شوند.

دلایل حمله DDOS می تواند بسیار زیاد باشد. بیایید سعی کنیم محبوب ترین را تعیین کنیم، و در عین حال به سوالات پاسخ خواهیم داد: "DDoS Attack - چه چیزی، چگونگی محافظت از خود، عواقب آن چیست، چه عواقب آن است؟"

رقابت

اینترنت به مدت طولانی یک منبع ایده های کسب و کار، اجرای پروژه های بزرگ و راه های دیگر برای کسب پول بسیار بزرگ است، بنابراین حمله DDoS می تواند به منظور سفارش انجام شود. به این معناست که اگر یک سازمان بخواهد آن را در صورت رقیب حذف کند، این فقط با یک کار ساده با Khakura (یا به یک گروه از چنین) با یک کار ساده تماس می گیرد - برای فلج کار یک شرکت ناخواسته از طریق منابع اینترنتی (DDOs حمله به سرور یا سایت).

بسته به اهداف و وظایف خاص، این حمله برای یک دوره مشخص و با استفاده از نیروی مناسب ایجاد شده است.

تقلب

اغلب، حمله DDoS به سایت در ابتکار هکرها به منظور جلوگیری از سیستم و دسترسی به منابع شخصی یا سایر منابع مهم سازماندهی شده است. پس از آنکه مهاجمان به وسیله سیستم فلج می شوند، ممکن است نیاز به مقدار زیادی از پول برای بازگرداندن عملکرد منابع مورد حمله داشته باشند.

بسیاری از کارآفرینان اینترنتی با شرایط توسعه یافته موافق هستند، توجیه اقدامات خود را از طریق داوطلبان در کار و دریافت تلفات عظیمی، به دست آوردن مقدار کمی به عنوان یک مرد تقلب، از دست دادن سود قابل توجهی برای هر روز از زمان خرابی آسان تر است.

سرگرمی

بسیاری از کاربران فقط به خاطر کنجکاوی یا سرگرم کننده علاقه مند هستند: "DDoS Attack - چه چیزی است و چگونه آن را انجام دهید؟" بنابراین، اغلب موارد زمانی که مهاجمان مبتدی به خاطر سرگرم کننده و نمونه ها چنین حملاتی را به منابع تصادفی سازماندهی می کنند، وجود دارد.

همراه با دلایل، حملات DDoS نشانه های طبقه بندی خود را دارند.

  1. پهنای باند. امروزه تقریبا هر مکان کامپیوتری مجهز است یا شبکه محلییا به سادگی به اینترنت متصل است. بنابراین، اغلب موارد سیل شبکه وجود دارد - تعداد زیادی از درخواست ها با یک سیستم نادرست شکل گرفته و بی معنی به منابع خاص یا تجهیزات به منظور امتناع بعدی یا شکست. دیسکهای سخت، حافظه، و غیره).
  2. سیستم اگزوز. چنین حمله DDoS به سرور SAMP برای ضبط انجام می شود حافظه فیزیکی، زمان پردازنده و سایر منابع سیستم، به دلیل عدم وجود اینکه یک شیء حمله شده به طور کامل کار نمی کند.
  3. خنک کننده. تست داده های بی نهایت و چرخه های دیگر که "در یک دایره" عمل می کنند، یک جسم را مجبور به صرف منابع زیادی می کنند، در نتیجه حافظه را به خستگی کامل می اندازد.
  4. حملات دروغین. چنین سازماني با هدف پاسخ نادرست از سیستم های حفاظت، که در نهایت منجر به مسدود کردن منابع خاص می شود، هدف قرار می گیرد.
  5. پروتکل HTTP. هکرها بسته های HTTP خشونت آمیز را با رمزگذاری ویژه ارسال می کنند، منابع، به طور طبیعی، نمی بینند که حمله DDoS بر روی آن سازماندهی شده است، برنامه برای سرور، انجام کار خود، به بسته های پاسخ از ظرفیت بسیار بیشتر اشاره می کند، در نتیجه پهنای باند را به دست می آورد از قربانی، که دوباره منجر به شکست خدمات می شود.
  6. حمله Smourf. این یکی از خطرناک ترین گونه هاست. هکر از طریق کانال پخش، قربانی یک بسته جعلی ICMP را ارسال می کند، جایی که آدرس قربانی توسط آدرس مهاجم جایگزین می شود و تمام گره ها شروع به ارسال پاسخ به درخواست پینگ می کنند. این حمله DDoS یک برنامه کاربردی است که به استفاده از یک شبکه بزرگ هدایت می شود، I.E. درخواست درمان شده با 100 رایانه 100 بار تقویت خواهد شد.
  7. udp-flood. این نوع حمله چیزی شبیه به یک قبلی است، اما به جای بسته های ICMP، مزاحمان از بسته های UDP استفاده می کنند. ماهیت این روش جایگزینی آدرس IP قربانی به آدرس هکرها است و پهنای باند را به طور کامل دانلود می کند که همچنین منجر به شکست سیستم می شود.
  8. سیل سیل. مهاجمان سعی می کنند به طور همزمان تعداد زیادی از اتصالات TCP را از طریق یک کانال SYN با اشتباه اجرا کنند یا مجاز شوند آدرس معکوس. پس از چند تلاش بیشتر سیستم های عامل در صف، اتصال به مشکل تنظیم شده است و تنها پس از تعدادی از تلاش برای بستن آن. جریان کانال SYN بسیار بزرگ است، و به زودی، پس از انواع چنین تلاش هایی، هسته قربانی از طریق مسدود کردن عملیات کل شبکه، هر گونه اتصال جدید را باز می کند.
  9. "بسته های سنگین". این گونه پاسخ به این سوال را می دهد: "سرور DDoS-Attack چیست؟" هکرها بسته ها را به سرور کاربر ارسال می کنند، اما اشباع پهنای باند رخ نمی دهد، عمل فقط برای زمان پردازنده هدایت می شود. به عنوان یک نتیجه، چنین بسته ها منجر به شکست در سیستم می شود، و به نوبه خود، به منابع خود.
  10. فایل های ورودی. اگر سیستم نقل قول و چرخش دارای یک کیسه لخت باشد، مهاجمان می توانند حجم بسته ها را بزرگ کنند، در نتیجه تمام فضای آزاد را در شماره گیری های سفت و سخت سرور اشغال می کنند.
  11. کد برنامه. هکرها با تجربه گسترده می توانند ساختار سرور قربانی را به طور کامل کشف کنند و الگوریتم های ویژه را راه اندازی کنند (برنامه DDoS Attack - Explit). چنین حملاتی عمدتا به منظور حفاظت از پروژه های تجاری با حفاظت از شرکت ها و سازمان های مختلف حوزه ها و مناطق مختلف است. مهاجمان میله ها را در کد برنامه پیدا می کنند و دستورالعمل های نامعتبر یا سایر الگوریتم های استثنایی را راه اندازی می کنند که منجر به توقف اضطراری سیستم یا خدمات می شود.

حمله DDoS: چه چیزی است و چگونه برای محافظت

روش های حفاظت از DDOS حمله بسیار زیاد است. و همه آنها را می توان به چهار بخش تقسیم کرد: منفعل، فعال، ارتجاعی و پیشگیرانه. آنچه ما بیشتر صحبت خواهیم کرد.

اخطار

در اینجا شما باید به طور مستقیم از دلایل خود جلوگیری کنید که می تواند یک حمله DDoS را تحریک کند. این نوع را می توان به برخی از خصومت شخصی، اختلافات قانونی، رقابت و سایر عوامل تحریک کننده "افزایش" توجه به شما، کسب و کار شما و غیره نسبت داده است.

اگر در زمان پاسخ به این عوامل و نتیجه گیری های مناسب، پس از آن بسیاری از شرایط ناخوشایند را می توان اجتناب کرد. این روش می تواند به جای مسائل مربوط به موضوع فنی موضوع باشد.

اقدامات پاسخ

اگر حملات به منابع شما ادامه یابد، لازم است که منبع مشکلات خود را پیدا کنید - مشتری یا هنرمند، با استفاده از اهرم های قانونی و فنی قرار گرفتن در معرض. برخی از شرکت ها خدماتی را برای یافتن مزاحمان به صورت فنی ارائه می دهند. بر اساس مدارک تحصیلی متخصصان مربوط به این موضوع، نه تنها یک هکر که یک حمله DDoS را انجام می دهد، بلکه به طور مستقیم مشتری خود را نیز می دهد.

حفاظت از نرم افزار

برخی از سازندگان سخت افزاری و نرم افزاری همراه با محصولات خود می توانند راه حل های موثر زیادی را ارائه دهند و حمله DDoS به سایت با تغذیه متوقف خواهد شد. یک سرور کوچک جداگانه با هدف مقابله با حملات کوچک و متوسط \u200b\u200bDDoS می تواند یک مدافع فنی باشد.

این تصمیم مناسب برای کسب و کارهای کوچک و متوسط \u200b\u200bاست. برای شرکت های بزرگ، شرکت ها و سازمان های دولتی، مجتمع های سخت افزاری کامل برای مبارزه با حملات DDoS وجود دارد که همراه با قیمت بالا دارای ویژگی های محافظتی عالی هستند.

تصفیه

قفل کردن و فیلتر کامل ترافیک ورودی اجازه می دهد نه تنها به کاهش احتمال حمله. در برخی موارد، حمله DDoS به سرور می تواند به طور کامل حذف شود.

شما می توانید دو راه اصلی را برای فیلتر کردن ترافیک - فایروال ها و مسیریابی کامل در لیست ها انتخاب کنید.

فیلتر کردن با استفاده از لیست ها (ACL) به شما امکان می دهد تا پروتکل های ثانویه را بدون مزاحمت کار TCP کاهش دهید و بدون کاهش سرعت دسترسی به منابع محافظت شده، کاهش دهید. با این حال، اگر هکرها از بوت نت ها استفاده کنند یا درخواست های فرکانس بالاT. این روش این بی اثر خواهد بود.

بهتر است که در برابر حملات DDoS محافظت شود، اما تنها منفی آنها این است که آنها فقط برای شبکه های خصوصی و غیر انتفاعی در نظر گرفته شده اند.

آینه

ماهیت این روش این است که کل ترافیک ورودی مهاجم را دوباره هدایت کنید. شما می توانید این کار را انجام دهید، دارای سرورهای قدرتمند و متخصصان صالح در حضور که نه تنها ترافیک را هدایت می کند، بلکه قادر به مقابله با تجهیزات مهاجم خواهد بود.

این روش اگر خطایی در خدمات سیستم، کد های برنامه و سایر برنامه های شبکه وجود نداشته باشد، مناسب نیست.

جستجو برای آسیب پذیری ها

این نوع حفاظت با هدف اصلاح سوء استفاده ها، عیب یابی اشتباهات در برنامه های وب و سیستم ها، و همچنین سایر خدمات مسئول ترافیک شبکه است. این روش در برابر حملات سیل است که به داده های آسیب پذیری هدایت می شود.

منابع مدرن

تضمین حفاظت 100٪ این روش را نمی توان. اما این اجازه می دهد تا شما را به طور موثر تر انجام رویدادهای دیگر (یا پیچیده مانند) برای جلوگیری از حملات DDoS.

توزیع سیستم ها و منابع

تکثیر منابع و توزیع سیستم ها به کاربران اجازه می دهد تا با اطلاعات خود کار کنند، حتی اگر در این لحظه حمله DDoS بر روی سرور شما انجام شود. برای توزیع، شما می توانید از سرور های مختلف یا تجهیزات شبکه استفاده کنید، و همچنین توصیه می شود که خدمات فیزیکی متفاوت در سیستم های مختلف تکراری (مراکز تاریخ) به اشتراک بگذارید.

چنین روش دفاعی امروز موثرتر است، در صورتی که طراحی معماری درست ایجاد شود.

گریز

ویژگی اصلی این روش خروجی و جداسازی یک شیء مورد حمله (نام دامنه یا آدرس IP) است، یعنی تمام منابع کار در همان سایت باید در آدرس های شبکه شخص ثالث یا حتی در قلمرو قرار گیرد یک کشور دیگر این به شما این امکان را می دهد که هر گونه حمله را زنده نگه دارید و ساختار IT داخلی را حفظ کنید.

خدمات حفاظت از DDOS حمله

پس از گفتن همه چیز در مورد چنین حمله ای، مانند حمله DDoS (آنچه که و نحوه برخورد با آن است)، ما می توانیم در نهایت می توانیم یک توصیه خوب را ارائه دهیم. بسیاری از سازمان های بزرگ خدمات خود را برای جلوگیری و جلوگیری از چنین حملاتی ارائه می دهند. اغلب این شرکت ها از طیف وسیعی از اقدامات و مکانیزم های مختلف استفاده می کنند که به شما اجازه می دهد از کسب و کار خود از اکثر حملات DDoS محافظت کنید. کارشناسان و خبرنگاران در آنجا کار می کنند، بنابراین، اگر منابع شما گران باشد، گزینه بهینه (هر چند) درخواست تجدید نظر به یکی از این شرکت ها است.

نحوه انجام حمله DDoS با دستان خود

آگاه است، به این معنی مسلح است - اصل درست. اما به یاد داشته باشید که سازمان عمدی حملات DDoS تنها یا گروهی از افراد است - به این ترتیب، این ماده صرفا برای آشنایی ارائه می شود.

کارگران پیشگیری از تهدید آمریكا، برنامه ای را برای تست ثبات بار سرور و امکان حملات DDOS توسط مهاجمان با حذف بعدی این حمله توسعه داده اند.

به طور طبیعی، ذهن "داغ" این سلاح را علیه توسعه دهندگان خود و در برابر آنچه که آنها جنگید، تبدیل کرد. نام کد محصول - LOIC. این برنامه در دسترسی آزاد است و در اصل قانون ممنوع نیست.

رابط کاربری و عملکرد برنامه بسیار ساده است، می تواند از هر کسی که علاقه مند به حمله DDoS است استفاده کند.

چگونه همه چیز را انجام دهید؟ در سکته مغزی، به اندازه کافی برای ورود به قربانیان IP کافی است، سپس TCP و جریان های UDP و تعداد درخواست ها را تنظیم کنید. Voila - پس از فشار دادن دکمه گرامی، حمله شروع شد!

هر گونه منابع جدی به طور طبیعی از این نرم افزار رنج نمی برند، اما کوچک ممکن است برخی از مشکلات را تجربه کند.

آزمایشگاه های برتر، متخصص در مقابله با حملات DDoS و دسترسی به منابع اینترنتی، واقعیت حملات DDoS با سرعت بالا را به بزرگترین منابع وب با استفاده از تکنیک های تقویت مبتنی بر MemCache ثبت کرد (نرم افزاری که خدمات ذخیره سازی داده ها را اجرا می کند حافظه دسترسی تصادفی بر اساس یک جدول هش).

از 23 فوریه تا 27، 2018، موج MemCache در سراسر اروپا حملات DDoS تقویت شد. تکنیک چنین حمله ای این است که گوش دادن به مهاجمان ترافیک UDP را به نصب پارامترهای Default Memcache، یعنی، سیل UDP در واقع استفاده می شود - ارسال مجموعه ای از بسته های جعلی UDP در هر واحد زمان از طیف گسترده ای از IP آدرس ها.

با این حال، در سال 2018، مشکلات امنیتی MemCache حداقل از سال 2014 شناخته شده است، این آسیب پذیری خود را به خصوص روشن نشان می دهد: در شب 25-26 فوریه، متخصصان آزمایشگاه های Qrator طیف وسیعی از Memcache حملات DDoS تقویت شده را در سراسر اینترنت مشاهده کرده اند، از جمله حملات به روسیه بزرگترین منابع شبکه.

در سال 2017، یک گروه از محققان تیم چینی Okee درباره امکان سازماندهی چنین حملاتی، اشاره به قدرت بالقوه مخرب خود را بیان کردند.

در طی چند روز گذشته، بسیاری از منابع، واقعیت حمله را با پاسخ های تقویت شده از منابع MemCache، با حملات پاسخ از DNS و NTP تایید کردند. منابع این حملات جعلی یک ارائه دهنده اصلی OVH و تعداد زیادی از ارائه دهندگان اینترنت و میزبان های کوچکتر بود.

یکی از مشتریان شرکت های Qrator Company - سیستم پرداخت Qiwi این واقعیت را تایید می کند که یک حمله با موفقیت خنثی به یک ترافیک UDP باند 480 گیگابایتی بر روی منابع خود از تقویت کننده های MemCache به خطر افتاده است.

"تکنیک های مدرن برای اجرای حملات DDoS هنوز ایستاده اند. به طور فزاینده ای، ظهور "Briges" جدید را در زیرساخت های اینترنت، که با موفقیت توسط مهاجمان به منظور اجرای حملات مورد استفاده قرار می گیرند، رفع می کنیم. حملات با استفاده از MemCache، سرعت آن به چند صد GB / s رسید، تایید شد، - نظرات به مدیر کل مدیر و بنیانگذار الکساندر لیامین. - منابع MemCache آسیب پذیر در اینترنت مقدار زیادی، و ما به شدت توصیه متخصصان فنی را به تنظیم پیکربندی صحیح MemCache، فراموش کردن در مورد تاسیسات پیش فرض. این به جلوگیری از گوش دادن به کل ترافیک UDP ارسال شده به سرور کمک می کند و احتمال حملات DDOS را کاهش می دهد. "

درباره آزمایشگاه های Qrator

آزمایشگاه های QRATOR - شماره اول در DDOS در روسیه (با توجه به IDC روسیه خدمات ضد DDoS خدمات 2016-2020 پیش بینی و تجزیه و تحلیل 2015). این شرکت در سال 2009 تأسیس شد و خدماتی را برای مقابله با حملات DDoS در یک مجتمع با راه حل های WAF (فایروال وب) که توسط تکنولوژی شریک والرم برگزار می شود، ارائه می دهد. به طور موثر مقابله با حملات DDoS، آزمایشگاه های Qrator با استفاده از داده های خدمات نظارت بر خدمات جهانی Qrator.Radar. شبکه فیلتر کننده Qrator بر روی گره های واقع در ایالات متحده آمریکا، روسیه، اتحادیه اروپا و آسیا ساخته شده است که همراه با الگوریتم های فیلتر کردن خود، مزیت رقابتی شرکت است.

این سازمان علاوه بر ثبت نام نام دامنه در منطقه.TR نیز پیوند اصلی دانشگاه های ترکیه را فراهم می کند. دستاوردهای ناشناس ناشناس متهم به رهبری ترکیه در حمایت از داعش مسئولیت را بر عهده گرفت.

اولین نشانه های DDOs در صبح روز 14 دسامبر، توسط ظهر، پنج سرور NIC.TR، تحت فشار ترافیک زباله با ظرفیت تا 40 گیگابایت بر ثانیه تسلیم شدند. مشکل همچنین بر مرکز هماهنگی رسیده، ارائه یک زیرساخت NIC.TR جایگزین. نمایندگان RIPE خاطرنشان کردند که این حمله به گونه ای اصلاح شده به منظور جلوگیری از حفاظت RIPE اصلاح شده است.

حملات بزرگ DDOS در مقیاس بزرگ تبدیل شده است در راه موثر تمیز کردن کار خدمات وب - هزینه حملات به طور مداوم کاهش می یابد، که به شما اجازه می دهد تا قدرت را افزایش دهید: فقط دو سال، قدرت متوسط \u200b\u200bحمله DDoS چهار برابر شده است و 8 گیگابایت بر ثانیه است. با توجه به میانگین ارزش های حمله، منطقه ملی ملی ترکیه به نظر می رسد عالی است، اما کارشناسان تاکید می کنند که سطح 400 گیگابایتی در سطح DDOS به زودی تبدیل به هنجار خواهد شد.

منحصر به فرد حمله ترکیه این است که مهاجمان هدف درست را انتخاب کردند: تمرکز بر تعداد کمی از آدرس های IP، آنها توانستند عملا زیرساخت کل کشور را با استفاده از تنها 40 گیگابایت شکست دهند.

مرکز واکنش ملی ترکیه برای Cyberillidents تمام ترافیک را مسدود کرد و وارد سرورهای NIC.TR از کشورهای دیگر شد، به همین دلیل است که همه 400 هزار سایت ترکیه غیرقابل دسترسی هستند و تمام پیام ها پست الکترونیک بازگشت به فرستنده ها بعدها، مرکز تصمیم گرفت تا تاکتیک ها را تغییر دهد، یک مسدود کننده انتخابی از آدرس های IP مشکوک را انجام دهد. سرورهای DNS دامنه های دامنه در منطقه .TR برای توزیع درخواست های بین سرورهای عمومی و خصوصی، که به ارائه دهندگان اینترنت ترکیان ترکیه و Vodafone کمک کرده اند، مجددا مجددا تنظیم شده اند.

دامنه های مورد حمله در همان روز به صورت آنلاین بازگشته اند، اما بسیاری از سایت ها و خدمات پست الکترونیکی چند روز دیگر با وقفه ها کار می کرد. نه تنها شرکت های محلی و سازمان های دولتی زخمی شدند، بلکه بسیاری از منابع وب ملی که نام دامنه را در منطقه zone.tr انتخاب می کنند؛ در مجموع آن حدود 400 هزار وب سایت است، 75 درصد از آنها شرکت هستند. دامنه ملی ترکیه همچنین از موسسات آموزشی، شهرداری ها و نظامیان استفاده می کند.

در حالی که "ناشناس" بیانیه ای را انجام نمی داد، بسیاری از وینیل ها در حمله DDoS روس ها - به دلیل روابط تنش بین ترکیه و روسیه. در یک زمان، هکرها روسیه به دلایل مشابه مشکوک به دخالت در حملات گسترده سایبری در استونی (2007)، جورجیا (2008) و اوکراین (2014) بود. بعضی از کارشناسان پاسخ DDoS ترکیه را به روس ها در حمله DDoS از گروه های سایبر ترکیه در سایت خبری روسیه "ماهواره" یافتند.

اعلامیه ناشناس، فرضیه "پیاده روی روسیه" را محروم کرد. Khakctivists همچنین تهدید به حمله به فرودگاه های ترکیه، بانک ها، سرورهای سازه های دولتی و سازمان های نظامی، اگر ترکیه دیگر متوقف نخواهد شد کمک به ایگیل.

وضعیت اقتصادی ناپایدار دو سال گذشته منجر به افزایش قابل توجهی در سطح مبارزه رقابتی در بازار شد، در نتیجه محبوبیت حملات DDoS افزایش یافت - روش موثر اعمال آسیب اقتصادی

در سال 2016، تعداد سفارشات تجاری برای سازمان حملات DDoS چندین بار افزایش یافت. حملات عظیم DDoS از منطقه تأثیرات سیاسی نقطه ای که به عنوان مثال در سال 2014 به یک بخش کسب و کار عظیم تبدیل شد، تغییر کرد. وظیفه اصلی مهاجمان در اسرع وقت و حداقل هزینه ها برای ایجاد یک منبع غیرقابل دسترس برای دریافت پول از رقبا برای این امر، اطمینان حاصل شود که شرایط اخاذی، و غیره حملات DDoS بیشتر و بیشتر به طور فعال استفاده می شود که جستجو را تحریک می کند برای ابزارهای حفاظت کسب و کار به طور فزاینده ای در مقیاس بزرگ.

در عین حال، تعداد حملات همچنان رشد می کند، حتی با وجود موفقیت قابل توجه در مبارزه با DDOs. به گفته آزمایشگاه های برتر، در سال 2015، میزان حملات DDoS 100٪ افزایش یافته است. و این تعجب آور نیست، زیرا هزینه آنها به حدود 5 دلار در ساعت کاهش می یابد و ابزارهای پیاده سازی آنها به یک بازار بزرگ سیاه تبدیل شده اند. ما نشان می دهیم چندین روند اساسی حملات توزیع شده با هدف امتناع از حفظ، که برای چند سال آینده پیش بینی شده است.

تقویت UDP تقویت

حملات با هدف خستگی ظرفیت کانال شامل تقویت UDP است. چنین حوادثی شایع ترین در سال 2014 بود و به یک روند روشن سال 2015 تبدیل شد. با این حال، تعداد آنها در حال حاضر به اوج خود رسیده است و به تدریج به کاهش می رسد - یک منبع برای انجام چنین حملاتی نه تنها نهایی است، بلکه به شدت کاهش می یابد.

تحت تقویت کننده به معنای یک سرویس UDP عمومی است که بدون احراز هویت کار می کند، که در پرس و جو کوچک می تواند بیش از یک پاسخ بزرگتر ارسال شود. حمله به چنین درخواست هایی، آدرس IP خود را به آدرس IP قربانی جایگزین می کند. به عنوان یک نتیجه، ترافیک معکوس، بسیار بیشتر از پهنای باند کانال مهاجم، به منابع وب قربانی هدایت می شود. برای مشارکت نامعتبر در حملات، DNS، NTP-، SSDP و سرورهای دیگر استفاده می شود.

حملات به برنامه های وب در L7

با توجه به کاهش تعداد تقویت کننده ها به خط مقدم، سازمان حملات به برنامه های کاربردی وب در سطح L7 با استفاده از بوت نت های کلاسیک. همانطور که می دانید، BotNet قادر به انجام حملات شبکه به دستورات از راه دور است و صاحبان کامپیوترهای آلوده ممکن است در مورد آن مشکوک باشند. به عنوان یک نتیجه از بیش از حد از درخواست خدمات "سطل زباله" برای درخواست تجدید نظر از کاربران مشروع، هیچ پاسخی بدون پاسخ وجود ندارد یا پاسخ ها نیاز به غیر ضروری از مقدار زیادی از زمان دارند.

امروزه بوت نت ها هوشمندتر می شوند. هنگام سازماندهی حملات مناسب، تکنولوژی پشته کامل مرورگر پشتیبانی می شود، یعنی، شبیه سازی کامل یک کامپیوتر سفارشی، مرورگر، اسکریپت جاوا کار می کند. چنین تکنیک ها به شما اجازه می دهد تا به طور کامل حملات L7 را پنهان کنید. به صورت دستی، ربات را از کاربر جدا می کند تقریبا غیرممکن است. این نیاز به سیستم ها با استفاده از تکنولوژی یادگیری ماشین دارد، به این ترتیب که سطح مقابله با حملات افزایش می یابد، مکانیسم ها بهبود می یابند و دقت آزمایش در حال رشد است.

مشکلات BGP

در سال 2016، یک روند جدید ظاهر شد - حمله به زیرساخت شبکه، از جمله بر اساس استفاده از آسیب پذیری های BGP. مشکلات پروتکل مسیریابی BGP، که بر اساس کل اینترنت است، چندین سال شناخته شده است، اما در سال های اخیر به طور فزاینده ای منجر به پیامدهای جدی منفی می شود.

ناهنجاری های شبکه مرتبط با مسیریابی در سطح شبکه بینایی می توانند بر تعداد زیادی از میزبان ها، شبکه ها و حتی اتصال جهانی و دسترسی به اینترنت تاثیر بگذارند. نوع معمول ترین نوع مشکلات نشت مسیر است - "نشت" مسیر، که ناشی از اعلامیه آن در جهت اشتباه است. در حالی که آسیب پذیری های BGP به ندرت به طور عمدی مورد استفاده قرار می گیرند: هزینه سازماندهی چنین حمله ای بسیار زیاد است و حوادث عمدتا به علت خطاهای احتمالی در تنظیمات شبکه رخ می دهد.

با این حال، در سال های اخیر، مقیاس گروه های جنایتکار سازمان یافته در اینترنت به طور قابل توجهی افزایش یافته است، بنابراین، به گفته آزمایشگاه های QRATOR، حملات مربوط به مشکلات BGP در آینده قابل پیش بینی محبوب خواهد بود. یک مثال روشن، "hijack" آدرس های IP (ربودن) توسط یک تیم شناخته شده سایبرگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگگ ها

حوادثTCP

پشته شبکه سیستم TCP / IP دارای تعدادی از مشکلات است که در حال حاضر در سال جاری به ویژه حاد خواهد بود. به منظور حفظ رشد سرعت فعال، زیرساخت های اینترنتی باید به طور مداوم به روز شود. سرعت اتصال فیزیکی به اینترنت هر چند سال افزایش می یابد. در اوایل دهه 2000. استاندارد 1 Gbit / s بود، امروز محبوب ترین رابط فیزیکی ترین 10Gbit / s است. با این حال، معرفی جرم یک استاندارد جدید از مفصل فیزیکی، 100 گیگابایت بر ثانیه، که مشکلات را با پروتکل TCP / IP قدیمی تر تولید می کند، برای چنین سرعت های بالا طراحی نشده است.

به عنوان مثال، در عرض چند دقیقه ممکن است یک شماره توالی TCP را انتخاب کنید - یک شناسه عددی منحصر به فرد، که اجازه می دهد (یا نه، مجاز) TCP / IP شرکای خود را برای انجام احراز هویت متقابل در زمان نصب اتصال و تبادل داده ها ، در حالی که نظم و یکپارچگی خود را حفظ می کنند. در سرعت 100 GB / s خط در فایل های ورود به سیستم TCP در مورد اتصال باز و / یا داده های ارسال شده بر روی آن، اطمینان حاصل نمی شود که آدرس IP ثابت واقعا اتصال را نصب کرده و این داده ها را منتقل کرده است. بر این اساس، این امکان را برای سازماندهی حملات کلاس جدید باز می کند و کارایی فایروال ها می تواند به طور قابل توجهی کاهش یابد.

آسیب پذیری TCP / IP توجه بسیاری از محققان را جلب می کند. آنها معتقدند که در سال 2016 ما در مورد حملات "بلند" مربوط به عملیات این "سوراخ" می شنویم.

آینده نزدیک

امروزه توسعه فن آوری ها و تهدیدات بر روی مارپیچ کلاسیک رخ نمی دهد، زیرا سیستم بسته نشده است - بسیاری از عوامل خارجی وجود دارد. به عنوان یک نتیجه، یک مارپیچ با دامنه در حال گسترش به دست می آید - افزایش می یابد، پیچیدگی حمله در حال رشد است، و پوشش تکنولوژی به طور قابل توجهی گسترش می یابد. ما عوامل متعددی را مطرح می کنیم که تأثیر جدی بر توسعه سیستم دارد.

اصلی آنها قطعا - مهاجرت به پروتکل حمل و نقل جدید IPv6. در پایان سال 2015، پروتکل IPv4 به عنوان منسوخ شناخته شد، و IPv6 به جلو می آید، که با آنها چالش های جدیدی را به ارمغان می آورد: در حال حاضر هر دستگاه دارای یک آدرس IP است و همه آنها می توانند به طور مستقیم به یکدیگر متصل شوند. بله، توصیه های جدید در مورد چگونگی کار کردن دستگاه ها باید کار کنند، اما به عنوان صنعت، به ویژه اپراتورهای مخابراتی، بخش تولید انبوه و فروشندگان چینی، یک سوال باز است. IPv6 به طور اساسی قوانین بازی را تغییر می دهد.

چالش دیگری افزایش قابل توجهی در شبکه های تلفن همراه، سرعت آنها و "استقامت" است. اگر بوت نت تلفن همراه مشکلات را ایجاد کرده است، اول از همه، اپراتور ارتباطات خود، در حال حاضر، زمانی که اتصال 4G سریعتر از اینترنت سیمی، شبکه های تلفن همراه با تعداد زیادی از دستگاه ها، از جمله تولید چینی، به یک پلت فرم عالی تبدیل می شوند برای حملات DDOS و هکرها. و مشکلات نه تنها در اپراتور مخابراتی، بلکه در میان سایر شرکت کنندگان در بازار نیز بوجود می آیند.

تهدید جدی دنیای نوظهور اینترنت چیزها است. بردارهای جدید حمله به نظر می رسد، از آنجا که تعداد زیادی از دستگاه ها و استفاده از تکنولوژی ارتباطات بی سیم برای هکرها چشم اندازهای بی حد و حصر باز می شود. تمام دستگاه های متصل به اینترنت به طور بالقوه می توانند بخشی از زیرساخت های مزاحمان باشند و در حملات DDoS شرکت کنند.

متأسفانه، تولید کنندگان انواع لوازم خانگی متصل به شبکه (کتری، تلویزیون، ماشین، چند ارز، مقیاس ها، سوکت های هوشمند "، و غیره) همیشه سطح مناسب حفاظت خود را تضمین نمی کنند. اغلب، نسخه های قدیمی تر از سیستم عامل های محبوب در چنین دستگاه هایی استفاده می شود، و فروشندگان به طور منظم به روز رسانی خود را مورد توجه قرار نمی دهند - جایگزینی در نسخه هایی که آسیب پذیری ها حذف می شوند. و اگر دستگاه محبوب است و به طور گسترده ای مورد استفاده قرار می گیرد، هکرها فرصتی برای بهره برداری از آسیب پذیری های خود را از دست نخواهند داد.

با توجه به داده های اولیه، رعایت مشکلات IOT در سال 2015 ظاهر شد، آخرین حمله به سرگرمی Blizzard با استفاده از دستگاه های کلاس IOT انجام شد. کد مخرب ثبت شد، عملکرد در قوری های مدرن و لامپ های نور. وظیفه هکرها چیپ ست را ساده می کند. نه چندان دور، یک چیپ ست ارزان قیمت برای تجهیزات مختلف منتشر شد، که می تواند با اینترنت ارتباط برقرار کند. بنابراین، مهاجمان نیازی به هک کردن 100 هزار سیستم عامل سفارشی ندارند - به اندازه کافی برای "شکستن" یک چیپست و دسترسی به تمام دستگاه های مبتنی بر آن است.

پیش بینی شده است که تمام گوشی های هوشمند بر اساس مسن تر نسخه های آندرویدشامل حداقل یک بوت نت است. همه "هوشمند" سوکت، یخچال و فریزر و دیگر لوازم خانگی. پس از چند سال، منتظر یک بوت نت جوباف، رادیوییاس و چند منظوره است. "اینترنت چیزها" ما را نه تنها راحتی و فرصت های اضافی، بلکه بسیاری از مشکلات را به ارمغان می آورد. هنگامی که همه چیز در IoT بسیاری خواهد داشت و هر پین قادر به ارسال 10 بایت خواهد بود، چالش های امنیتی جدید باید حل شود. و این باید امروز آماده شود.

معرفی

بلافاصله رزرو کنید که زمانی که من این بررسی را نوشتم، ابتدا بر روی مخاطب تمرکز کردم، از بین بردن جزئیات عملیات اپراتورهای مخابراتی و شبکه های انتقال اطلاعات آنها. این مقاله اصول اساسی حفاظت در برابر حملات DDoS، تاریخ توسعه آنها را در دهه گذشته مشخص می کند و وضعیت در حال حاضر است.

DDOS چیست؟

احتمالا در مورد آنچه که یک حمله DDoS است، امروز می داند اگر نه هر "کاربر"، و سپس در هر مورد - هر "آن". اما چند کلمه باید بگوید.

حملات DDoS (انکار توزیع خدمات - Cluctions Distributional Cluction Cluctions - این حملات بر سیستم های محاسباتی (منابع شبکه یا کانال های ارتباطی) است که هدف آن آنها را غیر قابل دسترس برای کاربران مشروع است. حملات DDoS به طور همزمان به یک منبع خاص از تعداد زیادی از درخواست ها از یک یا چند کامپیوتر که در اینترنت واقع شده اند، ارسال می شود. اگر هزاران نفر، ده ها هزار یا میلیون رایانه به طور همزمان ارسال درخواست ها را به یک سرور خاص (یا سرویس شبکه) ارسال کنند، سرور را تحمل نخواهد کرد، یا پهنای باند کانال ارتباطی کافی به این سرور ندارد. در هر دو مورد، کاربران اینترنت قادر به دسترسی به سرور به سرور حمله شده یا حتی به تمام سرورها و سایر منابع متصل شده از طریق یک کانال ارتباطی مسدود شده نخواهند بود.

برخی از ویژگی های حملات DDOS

علیه هر کسی و برای چه هدف، حملات DDoS راه اندازی می شود؟

حملات DDoS می تواند در برابر هر گونه منبع ارائه شده در اینترنت اجرا شود. بزرگترین آسیب از حملات DDOS دریافت سازمانهایی که کسب و کار به طور مستقیم به اینترنت مرتبط است - بانک ها (ارائه خدمات بانکداری اینترنتی)، خرید آنلاین، دلایل خرید، مزایده ها، و همچنین سایر فعالیت ها، فعالیت و اثربخشی آن به طور قابل توجهی به نمایندگی در اینترنت بستگی دارد (مسافرت های مسافرتی، خطوط هوایی، تولید کنندگان تجهیزات و نرم افزار و غیره) حملات DDoS به طور منظم علیه منابع چنین غول های راه اندازی می شود صنعت فناوری اطلاعات، مانند آی بی ام، سیستم های سیسکو، مایکروسافت و دیگران. حملات عظیم DDOs علیه ebay.com، amazon.com، بسیاری از بانک های معروف و سازمان ها مشاهده شده است.

اغلب حملات DDoS در برابر نمایندگی های وب سازمان های سیاسی، نهادها یا شخصیت های شناخته شده فردی، راه اندازی می شود. بسیاری از مردم در مورد حملات عظیم و بلند مدت DDOs که علیه وب سایت رییس جمهور گرجستان در جنگ سال 2008 آغاز شده بودند، می دانند (وب سایت چندین ماه از اوت 2008 در دسترس نبود)، علیه سرورهای دولت استونی (در بهار 2007، در طی شورش های مرتبط با انتقال یک سرباز برنز)، در مورد حملات دوره ای توسط بخش شبکه کره شمالی در برابر سایت های آمریکایی.

اهداف اصلی حمله DDoS یا استخراج مزایا (مستقیم یا غیر مستقیم) توسط تهدید و اخاذی، یا آزار و اذیت منافع سیاسی، تخلیه وضعیت، انتقام است.

مکانیسم های راه اندازی DDOS حملات چیست؟

محبوب ترین و خطرناک ترین راه برای راه اندازی حمله DDoS استفاده از بوت نت ها (بوت نت ها) است. Botnet بسیاری از رایانه هایی است که در آن بوک مارک های نرم افزاری ویژه (ربات ها) نصب شده اند، ترجمه شده از Botnets انگلیسی، شبکه ای از رباتها است. رباتها معمولا توسط هکرها به صورت جداگانه برای هر بوت نت طراحی شده اند و هدف اصلی ارسال درخواست ها را به یک منبع خاص اینترنت بر روی فرمان دریافت شده از سرور مدیریت بوت نت - فرمان Botnet و سرور کنترل می کنند. یک کنترل کننده بوت نت یک هکر را مدیریت می کند، یا فردی که این بوت نت را از یک هکر خریداری کرد و توانایی اجرای یک حمله DDoS را خریداری کرد. رباتها به شیوه های مختلف به اینترنت به اینترنت اعمال می شود، به عنوان یک قاعده - با حملات به رایانه هایی که دارای خدمات آسیب پذیر هستند و نصب بوک مارک های نرم افزاری یا فریب دادن کاربران و اجبار آنها را به نصب ربات ها تحت پوشش خدمات یا نرم افزار های دیگر که کاملا بی ضرر و یا حتی ویژگی مفید. روش های انتشار ربات ها بسیاری هستند، روش های جدید به طور منظم اختراع می شوند.

اگر یک بوت نت به اندازه کافی بزرگ باشد - ده ها یا صدها هزار کامپیوتر - و سپس به طور همزمان ارسال از تمام این رایانه ها حتی درخواست های کاملا مشروع در جهت یک سرویس شبکه خاص (به عنوان مثال، سرویس وب در یک سایت خاص) منجر به خستگی می شود از منابع یا خدمات یا سرور خود، و یا فرصت های کانال خستگی. در هر صورت، این سرویس به کاربران در دسترس نخواهد بود، و صاحب خدمات، زیان های مستقیم، غیر مستقیم و معتبر را متحمل خواهد شد. و اگر هر یک از رایانه ها یک درخواست را ارسال نماید، و ده ها تن، صدها یا هزاران درخواست در هر ثانیه، پس از آن، حمله نیروی ضربه، چندین بار افزایش می یابد، که باعث می شود حتی منابع مولد یا کانال های ارتباطی نیز امکان پذیر باشد.

برخی از حملات راه های "بی ضرر" را راه اندازی می کنند. به عنوان مثال، فلش فلاش از کاربران از انجمن های خاص، که با توافق در یک زمان خاص "پینگ" و یا درخواست های دیگر از رایانه خود را به سمت یک سرور خاص راه اندازی می شود. مثال دیگر قرار دادن لینک ها به وب سایت در منابع اینترنتی محبوب است که باعث نفوذ کاربر به سرور هدف می شود. اگر لینک "جعلی" (به صورت خارجی به نظر می رسد یک لینک به یک منبع است، و در واقع به یک سرور کاملا متفاوت اشاره می کند) اشاره به یک وب سایت سازمان کوچک است، اما در سرورهای محبوب یا انجمن ها ارسال می شود، چنین حمله ممکن است موجب هجوم سایت ناخواسته شود از بازدیدکنندگان این سایت.. حملات دو نوع آخر به ندرت منجر به خاتمه پذیری در دسترس بودن سرورها در سایت های میزبانی به درستی سازمان یافته می شود، اما نمونه هایی از این موارد و حتی در روسیه در سال 2009 بود.

آیا ابزار فنی سنتی حفاظت در برابر حملات DDOS کمک خواهد کرد؟

ویژگی DDOS حمله این است که آنها از انواع درخواست های همزمان تشکیل شده است، که هر کدام به صورت جداگانه "به راحتی" هستند، علاوه بر این، این پرسشنامه ها کامپیوترها را ارسال می کنند (آلوده به رباتها)، که می تواند بسیار رایج باشد تا متعلق به رایج ترین رایج باشد یا کاربران بالقوه خدمات مورد حمله یا منابع. بنابراین، شناسایی بسیار دشوار است که حمله DDoS به درستی شناسایی و فیلتر شود. سیستم های استاندارد کلاس IDS / IPS (سیستم تشخیص نفوذ / سیستم پیشگیری - سیستم تشخیص حمله / سیستم پیشگیری) در این پرسش های "ترکیب جرم" پیدا نمی شود، نمی داند که آنها بخشی از حمله هستند، مگر اینکه آنها یک تحلیل کیفی از ترافیک را انجام دهند ناهنجاری ها و حتی اگر آنها پیدا کنند، پس از آن درخواست های غیر ضروری نیز ساده نیست - فایروال های استاندارد و روترها ترافیک فیلتر را بر اساس لیست های دسترسی به خوبی تعریف شده (قوانین کنترل) فیلتر می کنند و نمی دانند چگونه "به صورت پویا" سازگاری با مشخصات یک حمله خاص فایروال ها می توانند جریان های ترافیکی را بر اساس معیارهای مانند آدرس های فرستنده مورد استفاده قرار دهند. خدمات شبکه، پورت ها و پروتکل ها. اما کاربران اینترنت به طور منظم در حمله DDoS شرکت می کنند که درخواست هایی را برای پروتکل های رایج ارسال می کنند - اپراتور ارتباطات مشابهی برای ممنوعیت همه چیز و همه چیز نخواهد بود؟ سپس او به سادگی سرویس های ارتباطی را به مشترکان خود متوقف می کند و دسترسی به منابع شبکه ای را که توسط آنها خدمات می کند، متوقف می کند، که در واقع، آغازگر حمله را به دست می آورد.

بسیاری از متخصصان احتمالا از وجود راه حل های ویژه برای محافظت در برابر حملات DDOs، که توسط ناهنجاری ها در ترافیک، ایجاد نمایه ترافیک و یک پروفیل حمله و فرآیند بعدی فیلتر کردن ترافیک چند مرحله ای پویا هستند، آگاه هستند. و من نیز در مورد این تصمیمات در این مقاله صحبت خواهم کرد، اما تا حدودی بعدا. و ابتدا در مورد برخی از اقدامات کمتر شناخته شده، اما گاهی اوقات کاملا موثر توصیف می شود که می تواند برای سرکوب حملات DDoS با استفاده از ابزار موجود شبکه داده ها و مدیران آن، پذیرفته شود.

حفاظت در برابر حملات DDOS به معنی

چند مکانیسم و \u200b\u200b"ترفندها" وجود دارد، که در برخی موارد خاص به سرکوب حملات DDoS اجازه می دهد. بعضی از آنها می توانند تنها در صورتی استفاده شوند که شبکه داده ها بر روی تجهیزات تولید کننده خاص ساخته شده است، بیشتر یا کمتر جهانی.

بیایید با توصیه های سیستم های سیسکو شروع کنیم. متخصصین این شرکت توصیه می کنند حفاظت بنیاد شبکه را برای محافظت از حفاظت از بنیاد شبکه، که شامل حفاظت از سطح شبکه شبکه (کنترل هواپیما)، سطح مدیریت شبکه (هواپیما مدیریت) و سطح داده شبکه (هواپیما داده) را توصیه می کند.

حفاظت از هواپیما مدیریت (هواپیما مدیریت)

اصطلاح "سطح دولت" تمام ترافیک را پوشش می دهد که کنترل یا نظارت بر روترها و سایر تجهیزات شبکه را فراهم می کند. این ترافیک به سمت روتر فرستاده می شود یا از روتر می آید. نمونه هایی از این ترافیک عبارتند از: جلسات Telnet، SSH و HTTP (S)، پیام های syslog، SNMP-Lads. بهترین شیوه های معمول عبارتند از:

ارائه حداکثر امنیت پروتکل های امنیتی و نظارت، استفاده از رمزگذاری و احراز هویت:

  • پروتکل SNMP V3 ابزارهای حفاظتی را فراهم می کند، در حالی که SNMP V1 عملا ارائه نمی دهد، و SNMP V2 تنها تا حدی فراهم می کند - ارزش جامعه پیش فرض همیشه باید تغییر کند؛
  • ارزش های مختلف برای جامعه عمومی و خصوصی باید استفاده شود؛
  • پروتکل TELNET تمام داده ها را شامل می شود، از جمله نام کاربری و رمز عبور، در فرم باز (اگر ترافیک متوقف شود، این اطلاعات به راحتی می تواند بازیابی و استفاده شود)، توصیه می شود از پروتکل SSH V2 استفاده کنید.
  • به طور مشابه، به جای HTTP، از HTTPS برای دسترسی به تجهیزات استفاده کنید. کنترل دسترسی سخت افزاری سخت افزاری، از جمله رمز عبور کافی، احراز هویت متمرکز، مجوز و حساب کاربری (مدل AAA) و احراز هویت محلی برای اهداف رزرو؛

پیاده سازی مدل بازی نقش دسترسی؛

کنترل اتصالات مجاز در آدرس منبع با استفاده از لیست های کنترل دسترسی؛

خدمات غیر استفاده نشده را غیرفعال کنید، که بسیاری از آنها به طور پیش فرض فعال هستند (یا بعد از تشخیص یا راه اندازی سیستم، فراموش کرده اند)؛

نظارت بر استفاده از منابع تجهیزات.

در دو مورد آخر، ارزش بیشتری را به دست آورده است.
برخی از خدمات که به طور پیش فرض فعال می شوند یا پس از راه اندازی یا تشخیص تجهیزات، می توانند توسط مزاحمان استفاده شوند، می توانند توسط مزاحمان استفاده شوند تا قوانین ایمنی موجود را دور بزنند. فهرست این خدمات زیر:

  • پد (بسته بندی بسته / disassembler)؛

به طور طبیعی، قبل از خاموش کردن این خدمات، شما باید به دقت تجزیه و تحلیل نبود نیاز خود را برای شبکه خود را.

مطلوب برای نظارت بر استفاده از منابع تجهیزات است. این به اول اجازه می دهد تا بیش از حد را متوجه شود عناصر فردی شبکه ها و اقدامات لازم برای جلوگیری از حوادث، و در مرحله دوم، تشخیص حملات DDoS و ناهنجاری ها اگر تشخیص آنها به وسیله ابزارهای خاص ارائه نمی شود. حداقل، توصیه می شود نظارت کنید:

  • بارگیری پردازنده
  • استفاده از حافظه
  • آپلود رابط های روترها.

نظارت می تواند "به صورت دستی" باشد (به صورت دوره ای ردیابی وضعیت تجهیزات)، اما بهتر است که آن را با سیستم های نظارت بر شبکه خاص یا نظارت بهتر انجام دهید امنیت اطلاعات (دوم به سیسکو مریخ اشاره می کند).

کنترل هواپیما (کنترل هواپیما)

سطح مدیریت شبکه شامل تمام ترافیک خدماتی است که عملکرد و اتصال شبکه را مطابق با توپولوژی مشخص شده و پارامترها تضمین می کند. نمونه هایی از ترافیک ترافیک عبارتند از: تمام ترافیک تولید شده یا در نظر گرفته شده برای پردازنده مسیریابی (پردازنده مسیر - RR)، از جمله تمام پروتکل های مسیریابی، در برخی موارد - پروتکل های SSH و SNMP، و همچنین ICMP. هر گونه حمله به عملکرد پردازنده مسیریابی، و به ویژه حملات DDoS، ممکن است مشکلات و وقفه های قابل توجهی را در عملیات شبکه مستقر کند. در زیر بهترین شیوه ها برای محافظت از سطح کنترل توصیف شده است.

کنترل پلیس کنترل هواپیما

این استفاده از مکانیسم های QoS (کیفیت خدمات - کیفیت خدمات) است تا اولویت بالاتر را به سطح کنترل سطح کنترل از ترافیک کاربر (بخشی از آن حملات) ارائه دهد. این کار پروتکل های خدمات و پردازنده مسیریابی را تضمین می کند، یعنی حفظ توپولوژی و اتصال به شبکه، و همچنین مسیریابی مناسب و تعویض بسته ها.

IP دریافت ACL

این قابلیت اجازه می دهد تا فیلتر کردن و کنترل ترافیک خدمات در نظر گرفته شده برای پردازنده روتر و مسیریابی.

  • قبل از ترافیک به پردازنده مسیریابی، به طور مستقیم بر روی تجهیزات مسیریابی استفاده می شود، حفاظت از تجهیزات "شخصی" را ارائه می دهد؛
  • بعد از ترافیک، لیست های کنترل دسترسی معمول را تصویب کرد - آخرین سطح حفاظت در راه به پردازنده مسیریابی است؛
  • درخواست به تمام ترافیک (و داخلی و خارجی، و حمل و نقل به شبکه اپراتور شبکه).

زیرساخت ACL

معمولا دسترسی به آدرس های تجهیزات روتر خود را فقط برای میزبان شبکه اپراتور شبکه خود مورد نیاز است، اما استثنائات (به عنوان مثال، EBGP، GRE، IPv6 بیش از IPv4 و تونل های ICMP) وجود دارد. لیست کنترل دسترسی زیرساخت:

  • معمولا در مرز شبکه اپراتور شبکه ("در ورودی به شبکه" نصب شده است)؛
  • در نظر گرفته شده برای جلوگیری از دسترسی به میزبان های خارجی به آدرس زیرساخت اپراتور؛
  • ارائه ترافیک حمل و نقل بدون محدودیت در مرز شبکه اپراتور؛
  • ارائه مکانیزم های حفاظت پایه از فعالیت های غیر مجاز شبکه، شرح داده شده در RFC 1918، RFC 3330، به ویژه، حفاظت از فریب دادن (جعل کردن، با استفاده از آدرس های IP جعلی منبع برای مخفی کردن زمانی که شما شروع به حمله).

احراز هویت همسایه

هدف اصلی احراز هویت روترهای همسایه، جلوگیری از حملات به پروتکل های مسیریابی جعلی برای تغییر مسیریابی در شبکه است. چنین حملاتی می تواند منجر به نفوذ غیر مجاز به شبکه، استفاده غیر مجاز شود. منابع شبکه، و همچنین به این واقعیت که مهاجم ترافیک را به منظور تجزیه و تحلیل و به دست آوردن اطلاعات لازم را جذب خواهد کرد.

راه اندازی BGP

  • فیلتر پیشوند BGP (فیلترهای پیشوند BGP) - استفاده می شود به طوری که اطلاعات مربوط به شبکه داخلی اپراتور ارتباطات اینترنت را توزیع نمی کند (گاهی اوقات این اطلاعات ممکن است برای مهاجم بسیار مفید باشد)؛
  • محدود کردن تعداد پیشوند هایی که می توانند از روتر دیگری پذیرفته شوند (محدود کننده پیشوند) - برای محافظت در برابر حملات DDoS، ناهنجاری ها و شکست ها در شبکه های شریک پیری استفاده می شود؛
  • با استفاده از پارامترهای جامعه BGP و فیلتر کردن آنها نیز می تواند برای محدود کردن توزیع اطلاعات مسیر استفاده شود.
  • نظارت بر BGP و مقایسه داده های BGP با ترافیک مشاهده شده یکی از مکانیسم های تشخیص زودهنگام حملات DDoS و ناهنجاری ها است.
  • فیلتر کردن با پارامتر TTL (زمان به زندگی) - برای بررسی شرکای BGP استفاده می شود.

اگر حمله به پروتکل BGP از شبکه شریک غول پیکر راه اندازی شود، اما از یک شبکه از راه دور، پارامتر TTL در بسته های BGP کوچکتر از 255 سال خواهد بود. شما می توانید روترهای مرزی اپراتور مخابراتی را پیکربندی کنید تا همه آنها را از بین ببرد بسته های BGP با مقدار TTL.< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

حفاظت سطح داده (هواپیما داده)

علیرغم اهمیت حفاظت از سطح مدیریت و کنترل، اکثر ترافیک در شبکه اپراتور شبکه داده ها، حمل و نقل یا شناسایی شده برای مشترکین این اپراتور است.

Unicast انتقال مسیر معکوس (URPF)

اغلب حملات شروع به استفاده از تکنولوژی جعلی (جعلی) می کنند - آدرس های IP منبع به گونه ای جعلی هستند تا منبع حمله غیرممکن باشد. آدرس های IP جعلی می تواند باشد:

  • از فضای مورد استفاده در واقع مورد استفاده، اما در بخش دیگری از شبکه (در بخش که در آن حمله در حال اجرا بود، این آدرس های جعلی مسیریابی نیست)؛
  • از فضای آدرس استفاده نشده در این شبکه؛
  • از فضای آدرس که در اینترنت مسیری نیست.

پیاده سازی بر روی روترهای مکانیسم URPF جلوگیری از مسیریابی بسته را با آدرس های منبع که ناسازگار یا استفاده نشده در بخش شبکه ای است که آنها وارد رابط روتر می شوند. این تکنولوژی ممکن است گاهی اوقات به طور موثر فیلتر ترافیک ناخواسته نزدیک به منبع آن، یعنی کارآمد ترین. بسیاری از حملات DDoS (از جمله Smurf معروف و شبکه سیل قبیله ای) از یک مکانیزم سیم کشی و تغییر دائمی آدرس های منبع به فریب استفاده می کنند معنی استاندارد حفاظت و فیلتر کردن ترافیک.

استفاده از مکانیزم URPF توسط اپراتورهای مخابراتی ارائه دهنده مشترکین به اینترنت به طور موثر جلوگیری از حملات DDoS با استفاده از یک تکنولوژی جعلی که توسط مشترکان خود در برابر منابع اینترنتی هدایت می شود، جلوگیری می کند. بنابراین، حمله DDoS نزدیک ترین منبع آن را سرکوب می کند، یعنی به طور موثر.

Remoteenet باعث Blackholes (RTBH)

RemoteNet به عنوان Blackholes به عنوان "قطره" (از بین بردن، ارسال "به هیچ جایی" استفاده می شود) ترافیک ورود به شبکه را با مسیریابی این ترافیک به رابط های خاص null 0 استفاده می شود. این تکنولوژی توصیه می شود در مرز شبکه برای بازنشانی حمله DDoS- ترافیک استفاده شود هنگامی که وارد شبکه شد محدودیت (و ضروری) این روش این است که آن را به تمام ترافیک مورد نظر برای میزبان خاص یا میزبان، که هدف حمله است، اعمال می شود. بنابراین، این روش را می توان در مواردی که یک حمله عظیم در معرض یک یا چند میزبان قرار می گیرد، مورد استفاده قرار گیرد، که باعث مشکلات نه تنها برای میزبان های مورد حمله، بلکه برای سایر مشترکین و شبکه های اپراتور شبکه به طور کلی می شود.

سیاهچاله ها را می توان به صورت دستی و از طریق پروتکل BGP کنترل کرد.

انتشار سیاست QoS از طریق BGP (QPPB)

کنترل QoS از طریق BGP (QPPB) برای مدیریت سیاست های اولویت برای ترافیک مورد نظر برای سیستم خودمختار خاص یا بلوک های IP بلوک مدیریت می شود. این مکانیزم ممکن است برای اپراتورهای مخابراتی و شرکت های بزرگ بسیار مفید باشد، از جمله مدیریت سطح اولویت برای ترافیک ناخواسته یا ترافیک حاوی حمله DDoS.

سوراخ سوراخ

در برخی موارد، لازم نیست که ترافیک را با استفاده از سیاهچاله ها به طور کامل حذف نکنید، بلکه آن را از کانال های اصلی یا منابع برای نظارت و تجزیه و تحلیل بعدی حذف کنید. این برای این است که "کانال های شیر" یا سوراخ های غرق در نظر گرفته شده است.

سوراخ های غرق اغلب در موارد زیر استفاده می شود:

  • برای حذف به سمت و تجزیه و تحلیل ترافیک با آدرس مقصد، که متعلق به فضای آدرس شبکه اپراتور شبکه است، اما در عین حال واقعا استفاده نمی شود (نه تجهیزات یا کاربران برجسته نبود)؛ چنین ترافیک پیشینی مشکوک است، زیرا اغلب شهادت می دهد که سعی در اسکن یا نفوذ به شبکه شما داشته باشد مهاجم که اطلاعات دقیق در مورد ساختار آن ندارد؛
  • برای هدایت ترافیک از هدف حمله، که در واقع در شبکه اپراتور منابع، برای نظارت و تجزیه و تحلیل آن کار می کند.

حفاظت از DDOS با استفاده از ابزار خاص

سیسکو لوله های تمیز مفهوم - صنعت صنعت

مفهوم مدرن حفاظت در برابر DDOS-Attack توسعه یافته است (بله، بله، شما تعجب نکنید! :)) شرکت سیسکو سیستم. توسعه یافته توسط سیسکو مفهوم لوله های تمیز سیسکو ("کانال های خالص") نامیده می شود. در مفهوم که تقریبا 10 سال پیش توسعه یافته بود، اصول اساسی و تکنولوژی حفاظت در برابر اختلالات غیر طبیعی در ترافیک، که اکثر آنها امروزه استفاده می شود، از جمله سایر تولید کنندگان، به طور دقیق شرح داده شده است.

مفهوم لوله های پاک Cisco نشان می دهد که اصول تشخیصی DDoS زیر را نشان می دهد.

نقاط انتخاب شده (سایت های شبکه)، ترافیک که در آن برای شناسایی ناهنجاری ها مورد تجزیه و تحلیل قرار گرفته است. بسته به این واقعیت که ما محافظت می کنیم، با چنین نقاط ممکن است اتصالات پیری اپراتور ارتباطی با اپراتورهای برتر، نقاط اتصال از اظهارات پایین تر یا مشترکین، کانال ها برای اتصال مراکز داده به شبکه وجود داشته باشد.

آشکارسازهای ویژه تجزیه و تحلیل ترافیک در این نقاط، ساخت (مطالعه) مشخصات ترافیک در حالت طبیعی خود را، زمانی که حمله DDoS یا آنومالی به نظر می رسد - تشخیص آن، مطالعات و به طور پویا ویژگی های آن را شکل می دهد. علاوه بر این، اطلاعات توسط اپراتور سیستم تجزیه و تحلیل می شود و در حالت نیمه اتوماتیک یا اتوماتیک، روند سرکوب حمله آغاز می شود. سرکوب این است که ترافیک در نظر گرفته شده برای "قربانی" به صورت پویا از طریق دستگاه فیلتر کردن هدایت می شود، که فیلترها توسط آشکارساز تشکیل شده و منعکس کننده شخصیت فردی این حمله برای این ترافیک استفاده می شود. ترافیک خالص به شبکه وارد می شود و به گیرنده فرستاده می شود (از آنجا که لوله های تمیز آغاز می شود - مشترکین یک کانال تمیز را دریافت می کنند که شامل یک حمله نیست).

بنابراین، کل چرخه حفاظت از حمله DDOS شامل مراحل اصلی زیر است:

  • ویژگی های کنترل آموزش ترافیک (پروفایل، یادگیری ابتدایی)
  • تشخیص تشخیص و ناهنجاری ها (تشخیص)
  • تغییر مسیر توزیع از طریق دستگاه تمیز کردن (انحراف)
  • فیلتر کردن ترافیک برای سرکوب حملات (کاهش)
  • ترافیک را به شبکه وارد کنید و آدرس گیرنده (تزریق) را ارسال کنید.

n ویژگی های ضروری
دو نوع دستگاه را می توان به عنوان آشکارساز استفاده کرد:

  • آشکارسازهای تولید سیسکو سیستم - سیسکو ترافیک خدمات ماژول خدمات ماژول خدمات ماژول در نظر گرفته شده برای نصب در Cisco 6500/7600 شاسی.
  • آشکارسازهای تولید شبکه های ARBOR - دستگاه های SP CP SP CP.

در زیر یک جدول مقایسه سیسکو و آشکارسازهای آربور است.

پارامتر

آشکارساز Anomaly ترافیک سیسکو

Arbor Peakflow SP CP

دریافت اطلاعات ترافیک برای تجزیه و تحلیل

کپی از ترافیک اختصاص داده شده در شاسی سیسکو 6500/7600

Netflow اطلاعات در ترافیک دریافت شده از روترها مجاز به تنظیم نمونه (1: 1، 1: 1 000، 1: 10،000، و غیره)

اصول تشخیص استفاده می شود

تجزیه و تحلیل زنگ (تشخیص سوء استفاده) و تشخیص ناهنجاری ها (پویاپروفیل)

عمدتا تشخیص ناهنجاری ها؛ تجزیه و تحلیل enarted استفاده می شود، اما امضاء عمومی هستند

فاکتور شکل

ماژول های خدمات در شاسی سیسکو 6500/7600

دستگاه های جداگانه (سرورها)

کارایی

ترافیک تست تا 2 GBPS

عملا نامحدود (شما می توانید نرخ نمونه برداری را کاهش دهید)

مقیاس پذیری

نصب تا 4 ماژولسیسکوآشکارسازsm یک شاسی (با این حال، ماژول ها به طور مستقل از یکدیگر عمل می کنند)

توانایی استفاده از دستگاه های متعدد در یک سیستم تجزیه و تحلیل تک، یکی از آنها به وضعیت رهبر اختصاص داده شده است

نظارت بر ترافیک و مسیریابی

این قابلیت عملا وجود ندارد

این قابلیت بسیار توسعه یافته است. بسیاری از اپراتورهای مخابراتی Arbor Peakflow SP را به دلیل عملکرد عمیق و توسعه یافته در نظارت بر ترافیک و مسیریابی در شبکه خریداری می کنند

ارائه پورتال (رابط فردی برای مشترکین برای نظارت بر تنها بخش نسبی شبکه به طور مستقیم به آن)

ارائه نشده است

ارائه شده است. این یک مزیت جدی از این راه حل است، زیرا اپراتور ارتباطی می تواند خدمات حفاظت از DDOS فردی را به مشترکین خود بفروشد.

دستگاه های تمیز کردن ترافیک سازگار (سرکوب حمله)

سیسکو ماژول خدمات گارد

 Arbor Peakflow SP TMS؛ ماژول خدمات گارد سیسکو.
حفاظت از مراکز داده (مرکز داده) هنگام اتصال به اینترنت نظارت بر اتصالات پایین دست شبکه های مشترک به شبکه اپراتور شبکه تشخیص حملات توسطبالادست- اپراتور شبکه اتصالات به شبکه های ارائه دهندگان بالاتر نظارت بر اپراتور اصلی
آخرین ردیف جدول، استفاده از آشکارسازهای سیسکو و از Arbor را نشان می دهد که توسط سیستم های سیسکو توصیه می شود. داده های اسکریپت در طرح زیر منعکس شده است.

به عنوان یک دستگاه تمیز کردن ترافیک سیسکو، توصیه می شود از ماژول خدمات گارد سیسکو استفاده کنید که در شاسی سیسکو 6500/7600 نصب شده است و دستور دریافت شده از آشکارساز آشکارساز سیسکو یا با Arbor PeakFlow SP CP یک مسیر هدایت پویا است، تمیز کردن و ورود ترافیک معکوس به شبکه. مکانیزم های هدایت کننده یا به روز رسانی BGP به سمت روترهای بالاتر یا مدیران مستقیم به سوی سرپرست با استفاده از پروتکل اختصاصی، به روز می شود. هنگام استفاده از به روز رسانی BGP، روتر بالادست توسط ارزش NEX-HOP جدید برای ترافیک حاوی حمله نشان داده شده است - به طوری که این ترافیک بر روی سرور تمیز کردن قرار دارد. در عین حال، لازم است مراقب باشید که این اطلاعات به سازماندهی حلقه متصل نیست (به طوری که روتر پایین دست سعی نکنید این ترافیک را در دستگاه تمیز کردن در هنگام ورود به آن پاک کنید). برای این منظور، مکانیسم های کنترل توزیع به روز رسانی BGP با توجه به پارامتر جامعه، و یا استفاده از GRE-TUNNELS هنگام ورود به ترافیک تمیز.

چنین وضعیتی وجود داشت تا زمانی که شبکه های ARBOR به طور قابل توجهی خط تولید محصولات Peachflow SP را گسترش دادند و به بازار با تصمیم کاملا مستقل در مورد حفاظت در برابر حملات DDoS به بازار رفتند.

Arbor PeakFlow SP TMS ظاهر

چند سال پیش، شبکه های Arbor تصمیم گرفتند خط تولید خود را برای محافظت در برابر حملات DDoS به خود و بدون در نظر گرفتن سرعت و سیاست توسعه این جهت از سیسکو محافظت کنند. راه حل های PeakFlow SP CP دارای مزایای اساسی نسبت به آشکارساز سیسکو هستند، زیرا آنها اطلاعات جریان را با امکان تنظیم فرکانس نمونه تجزیه و تحلیل کردند، به این معنی که هیچ محدودیتی در استفاده از اپراتورهای ارتباطی در شبکه ها و کانال های تنه وجود نداشت (به عنوان مخالف سیسکو آشکارساز، که یک کپی ترافیک را تجزیه و تحلیل می کند). علاوه بر این، مزیت جدی PeakFlow SP، امکان اپراتورها برای فروش خدمات مانیتورینگ فردی به مشترکین و محافظت از بخش های شبکه خود بود.

با توجه به این یا سایر ملاحظات، Arbor به طور قابل توجهی خط تولید Peachflow SP را گسترش داده است. تعدادی از دستگاه های جدید ظاهر شد:

PeakFlow SP TMS (سیستم مدیریت تهدید) - تامین حملات DDoS توسط فیلتر کردن چند مرحله ای بر اساس داده های به دست آمده از PeachFlow SP CP و از آزمایشگاه Asert، متعلق به شبکه های Arbor و نظارت و تجزیه و تحلیل حملات DDoS به اینترنت؛

PeakFlow SP BI (هوش تجاری)- دستگاه های ارائه مقیاس سیستم، افزایش تعداد اشیاء منطقی به نظارت و ارائه افزونگی داده های جمع آوری شده و تجزیه و تحلیل شده؛

PeakFlow SP PI (رابط پورتال)- دستگاه ها افزایش افزایش مشترکانی که با یک رابط فردی برای مدیریت ایمنی خود ارائه می شوند؛

PeakFlow SP FS (سانسور جریان)- دستگاه هایی که اطمینان از نظارت بر روترهای مشترک، اتصالات به شبکه های پایین تر و مراکز پردازش داده ها را تضمین می کنند.

اصول عملیات سیستم Arbor Peakflow SP عمدتا مشابه لوله های تمیز سیسکو بود، اما Arbor به طور منظم سیستم های خود را توسعه و بهبود می بخشد، بنابراین در حال حاضر عملکرد محصولات آربور در بسیاری از پارامترها بهتر از سیسکو، از جمله عملکرد است.

به روز، حداکثر عملکرد موتورهای گارد سیسکو با ایجاد خوشه ای از 4 ماژول محافظ در یک شاسی سیسکو 6500/7600، در حالی که خوشه بندی کامل این دستگاه ها اجرا نمی شود، به دست می آید. در عین حال، مدل های بالایی از Arbor Peakflow SP TMS دارای ظرفیت تا 10 گیگابایت بر ثانیه هستند و به نوبه خود می تواند به صورت خوشه ای خوشه ای باشد.

پس از آنکه آربر شروع به قرار دادن خود به عنوان یک بازیکن مستقل در بازار برای تشخیص و سرکوب حملات DDoS، سیسکو شروع به دنبال یک شریک بود که آن را به عنوان نظارت لازم از داده های جریان در ترافیک شبکه فراهم می کند، اما این مستقیم نیست رقیب چنین شرکتی نارووس تبدیل شده است، که سیستم نظارت بر پایگاه داده جریان داده (NarusInsight) را تولید می کند و با سیستم های سیسکو همکاری کرده است. با این حال، این مشارکت توسعه جدی و حضور در بازار را دریافت نکرد. علاوه بر این، بر اساس برخی از پیام ها، سیسکو قصد ندارد سرمایه گذاری در آشکارساز سیسکو خود و راه حل های گارد سیسکو، در واقع، ترک این طاقچه برای شرکت شرکت شرکت Arbor.

برخی از ویژگی های سیسکو و راه حل های Arbor

شایان ذکر است که برخی از ویژگی های راه حل های سیسکو و آربور را ذکر می کند.

  1. گارد سیسکو می تواند هر دو در رابطه با آشکارساز و به طور مستقل استفاده شود. در مورد دوم، آن را در حالت in-line نصب شده و توابع تجزیه و تحلیل ترافیک را انجام می دهد و در صورت لزوم، فیلترها را روشن می کند و ترافیک را تمیز می کند. منفی این حالت این است که ابتدا یک نقطه اضافی به طور بالقوه شکست خورده است، و در مرحله دوم، تاخیر ترافیک اضافی (اگر چه تا زمانی که مکانیزم فیلتراسیون روشن است، کوچک است). توصیه می شود برای حالت گارد سیسکو - منتظر یک فرمان برای هدایت ترافیک حاوی حمله، فیلتر کردن و ورود به آن به شبکه.
  2. دستگاه های Arbor PeakFlow SP TMS همچنین می توانند هر دو را در حالت خاموش رمپ و در حالت خطی کار کنند. در اولین مورد، دستگاه به طور انحصاری انتظار می رود یک فرمان برای هدایت ترافیک که شامل یک حمله برای تمیز کردن و ورود آن به شبکه است. در مرحله دوم، او تمام ترافیک را از بین می برد، داده ها را بر اساس ARBORFLOW بر اساس آن تولید می کند و آنها را به PeakFlow SP CP برای تجزیه و تحلیل و تشخیص حملات انتقال می دهد. Arborflow یک فرمت مشابه Netflow است، اما توسط Arbor برای سیستم های SP Peakflow بهبود یافته است. نظارت بر ترافیک و تشخیص حملات PeekFlow SP CP بر اساس داده های ARBORFLOW به دست آمده از داده های TMS انجام می شود. هنگامی که یک حمله شناسایی می شود، اپراتور Peakflow SP CP فرمان را به سرکوب آن می دهد، پس از آن TMS به فیلترها تبدیل می شود و ترافیک را از حمله پاک می کند. بر خلاف سیسکو، سرور PeakFlow SP TMS مستقل نمی تواند به طور مستقل کار کند، نیاز به سرور Peachflow SP CP برای کار دارد، که تجزیه و تحلیل ترافیک را انجام می دهد.
  3. امروزه اکثر متخصصان معتقدند که وظایف حفاظت از مناطق محلی شبکه (به عنوان مثال، اتصال سی دی ها یا اتصال شبکه های پایین دست)

مقالات مشابه