Semakin sering, dalam pesan resmi penyedia hosting, menyebutkan serangan DDoS yang tercermin di sana-sini. Semakin, pengguna, setelah menemukan tidak dapat diaksesnya situs mereka, segera menganggap DDoS. Memang, pada awal Maret, Runet mengalami gelombang serangan semacam itu. Pada saat yang sama, para ahli memastikan bahwa kesenangan baru saja dimulai. Tidak mungkin mengabaikan fenomena yang begitu mendesak, hebat, dan menarik. Jadi hari ini, mari kita bicara tentang mitos dan fakta tentang DDoS. Dari sudut pandang penyedia hosting, tentu saja.

Hari yang tak terlupakan

Pada 20 November 2013, untuk pertama kalinya dalam 8 tahun sejarah perusahaan kami, seluruh situs teknis tidak tersedia selama beberapa jam karena serangan DDoS yang belum pernah terjadi sebelumnya. Puluhan ribu klien kami di seluruh Rusia dan CIS telah menderita, belum lagi kami dan penyedia Internet kami. Hal terakhir yang berhasil diperbaiki oleh penyedia sebelum lampu putih meredup untuk semua orang adalah saluran inputnya benar-benar tersumbat dengan lalu lintas masuk. Untuk memvisualisasikannya, bayangkan bak mandi Anda dengan wastafel biasa, di mana Air Terjun Niagara mengalir deras.

Bahkan penyedia tingkat yang lebih tinggi dalam rantai tersebut telah merasakan gema tsunami ini. Grafik di bawah ini dengan jelas menggambarkan apa yang terjadi hari itu dengan lalu lintas Internet di Sankt Peterburg dan di Rusia. Perhatikan puncak yang curam pada pukul 15:00 dan 18:00, tepat saat kami merekam serangan. Untuk ini tiba-tiba ditambah 500-700 GB.

Butuh beberapa jam untuk melokalisasi serangan. Server yang dihostingnya dihitung. Kemudian target teroris internet juga dihitung. Apakah Anda tahu siapa yang terkena semua artileri musuh ini? Satu situs klien yang sangat biasa dan sederhana masing-masing.

Mitos nomor satu: “Target serangan selalu penyedia hosting. Ini adalah intrik para pesaingnya. Bukan milikku. " Bahkan, target teroris Internet yang paling mungkin adalah situs klien biasa. Itu adalah situs salah satu tetangga hosting Anda. Atau mungkin milikmu.

Tidak semua DDoS itu ...

Setelah kejadian di situs teknis kami pada 20 November 2013 dan pengulangan sebagian pada 9 Januari 2014, beberapa pengguna mulai menganggap DDoS dalam kegagalan pribadi di situs mereka sendiri: "Ini adalah DDoS!" dan "Apakah Anda memiliki DDoS lagi?"

Penting untuk diingat bahwa jika kita dihadapkan pada DDoS yang bahkan dirasakan oleh pelanggan, kita segera melaporkannya sendiri.

Kami ingin meyakinkan mereka yang sedang terburu-buru untuk panik: jika ada yang salah dengan situs Anda, maka kemungkinan DDoS kurang dari 1%. Hanya karena fakta bahwa banyak hal dapat terjadi pada situs dan "banyak hal" ini lebih sering terjadi. Kami akan berbicara tentang metode diagnostik cepat mandiri tentang apa yang sebenarnya terjadi dengan situs Anda di salah satu posting berikut.

Sementara itu, demi keakuratan penggunaan kata, mari kita perjelas istilahnya.

Tentang istilah

Serangan DoS (dari English Denial of Service) - Ini adalah serangan yang dirancang untuk menyebabkan server ditolak layanannya karena kelebihan beban.

Serangan DoS tidak melibatkan kerusakan peralatan atau pencurian informasi; tujuan mereka - membuat server berhenti merespons. Perbedaan mendasar antara DoS adalah serangan terjadi dari satu mesin ke mesin lainnya. Tepatnya ada dua peserta.

Namun pada kenyataannya, kami praktis tidak mengamati serangan DoS. Mengapa? Karena target serangan paling sering adalah fasilitas industri (misalnya, server produktif yang kuat dari perusahaan hosting). Dan untuk menyebabkan kerusakan nyata pada pengoperasian mesin seperti itu, diperlukan lebih banyak daya daripada miliknya. Ini adalah hal pertama. Dan kedua, inisiator serangan DoS cukup mudah diidentifikasi.

DDoS - dasarnya sama dengan DoS, hanya serangannya alam terdistribusi. Bukan lima, bukan sepuluh, bukan dua puluh, tetapi ratusan dan ribuan komputer mengakses server yang sama secara bersamaan dari lokasi yang berbeda. Pasukan mesin seperti itu disebut botnet... Hampir tidak mungkin untuk menghitung pelanggan dan penyelenggara.

kaki tangan

Jenis komputer apa yang termasuk dalam botnet?

Anda akan terkejut, tetapi seringkali ini adalah mobil rumahan yang paling biasa. Siapa tahu? .. - sangat mungkin komputer rumah Anda terbawa ke sisi kejahatan.

Sedikit yang dibutuhkan untuk ini. Seorang penyerang menemukan kerentanan di tempat populer sistem operasi atau aplikasi dan dengan bantuannya menginfeksi komputer Anda dengan Trojan, yang pada hari dan jam tertentu memerintahkan komputer Anda untuk mulai melakukan tindakan tertentu. Misalnya, mengirim permintaan ke IP tertentu. Tanpa sepengetahuan dan partisipasi Anda tentunya.

Mitos nomor dua: « DDoS sedang dilakukan di suatu tempat yang jauh dari saya, di bunker bawah tanah khusus tempat para peretas berjanggut dengan mata merah duduk." Padahal, tanpa disadari, Anda, teman dan tetangga Anda - siapa pun bisa menjadi kaki tangan tanpa disadari.

Ini benar-benar terjadi. Bahkan jika Anda tidak memikirkannya. Bahkan jika Anda sangat jauh dari TI (terutama jika Anda jauh dari TI!).

Mekanik peretasan atau DDoS yang menghibur

Fenomena DDoS bersifat heterogen. Konsep ini menggabungkan banyak pilihan tindakan yang mengarah pada satu hasil (denial of service). Mari kita pertimbangkan varian masalah yang dapat diberikan oleh DDoS kepada kita.

Terlalu sering menggunakan sumber daya komputasi server

Ini dilakukan dengan mengirimkan paket ke IP tertentu, yang pemrosesannya membutuhkan banyak sumber daya. Misalnya, untuk memuat halaman, Anda perlu menjalankan sejumlah besar kueri SQL. Semua penyerang akan meminta halaman khusus ini, yang akan menyebabkan server kelebihan beban dan penolakan layanan untuk pengunjung situs reguler dan sah.
Ini adalah serangan tingkat anak sekolah yang telah mengabdikan beberapa malam untuk membaca majalah Hacker. Dia tidak masalah. URL yang diminta sama dihitung secara instan, setelah itu akses ke sana diblokir di tingkat server web. Dan ini hanya salah satu solusinya.

Overload saluran komunikasi ke server (di pintu keluar)

Tingkat kesulitan serangan ini hampir sama dengan serangan sebelumnya. Penyerang menghitung halaman paling sulit di situs, dan botnet di bawah kendalinya mulai memintanya secara besar-besaran.

Bayangkan bahwa bagian tak kasat mata dari Winnie the Pooh sangat besar
Dalam hal ini, juga sangat mudah untuk memahami apa sebenarnya saluran keluar yang tersumbat dan melarang akses ke halaman ini. Kueri dengan jenis yang sama mudah dilihat dengan utilitas khusus yang memungkinkan Anda untuk melihat antarmuka jaringan dan menganalisis lalu lintas. Kemudian aturan ditulis untuk Firewall, yang memblokir permintaan tersebut. Semua ini dilakukan secara teratur, otomatis dan sangat cepat sehingga sebagian besar pengguna bahkan tidak menyadari adanya serangan.

Mitos nomor tiga: "A Namun, mereka jarang pergi ke hosting saya, dan saya selalu memperhatikan mereka." Faktanya, Anda tidak dapat melihat atau merasakan 99,9% serangan. Tapi perjuangan sehari-hari dengan mereka - ini adalah pekerjaan rutin perusahaan hosting sehari-hari. Ini adalah realitas kita, di mana serangannya murah, kompetisinya di luar skala, dan tidak semua orang menunjukkan diskriminasi dalam metode memperjuangkan tempat di bawah sinar matahari.

Overload saluran komunikasi ke server (di pintu masuk)

Ini sudah menjadi teka-teki bagi mereka yang telah membaca majalah Hacker selama lebih dari satu hari.

Foto dari situs radio "Echo of Moscow". Kami tidak menemukan sesuatu yang lebih visual untuk mewakili DDoS dengan kemacetan saluran input.
Untuk mengisi saluran dengan lalu lintas masuk ke titik kegagalan, Anda harus memiliki botnet dengan kapasitas untuk menghasilkan jumlah lalu lintas yang diperlukan. Tapi mungkin ada cara untuk memberikan sedikit lalu lintas, tetapi mendapatkan banyak?

Ada, dan bukan satu. Ada banyak opsi untuk meningkatkan serangan, tetapi salah satu yang paling populer saat ini adalah menyerang melalui server DNS publik. Para ahli menyebut metode amplifikasi ini amplifikasi DNS(jika seseorang lebih menyukai istilah ahli). Dan jika lebih sederhana, bayangkan longsoran salju: upaya kecil sudah cukup untuk memecahkannya, dan sumber daya yang tidak manusiawi sudah cukup untuk menghentikannya.

Anda dan saya tahu itu server DNS publik berdasarkan permintaan, menginformasikan siapa saja yang ingin tahu tentang nama domain apa pun. Misalnya, kami meminta server seperti itu: beri tahu saya tentang domain sprinthost.ru. Dan dia, tanpa ragu-ragu, membocorkan semua yang dia tahu kepada kita.

Meminta server DNS adalah operasi yang sangat sederhana. Hampir tidak ada biaya untuk menghubunginya, permintaannya akan mikroskopis. Misalnya, seperti ini:

Yang tersisa hanyalah memilih nama domain, informasi yang akan menjadi paket data yang mengesankan. Jadi yang semula 35 byte dengan sedikit gerakan tangan berubah menjadi hampir 3700. Ada peningkatan lebih dari 10 kali lipat.

Tetapi bagaimana Anda memastikan bahwa respons diarahkan ke IP yang benar? Bagaimana cara memalsukan IP sumber permintaan sehingga server DNS mengeluarkan responsnya ke arah korban, yang tidak meminta data apa pun?

Faktanya adalah bahwa server DNS beroperasi pada Protokol komunikasi UDP, yang tidak memerlukan konfirmasi sumber permintaan sama sekali. Dalam hal ini, memalsukan IP keluar bukanlah masalah besar bagi pengguna. Inilah sebabnya mengapa jenis serangan ini sangat populer sekarang.

Yang terpenting, botnet yang sangat kecil sudah cukup untuk melakukan serangan seperti itu. Dan beberapa tersebar DNS publik, siapa yang tidak akan melihat sesuatu yang aneh pada kenyataan bahwa pengguna yang berbeda dari waktu ke waktu meminta data ke alamat host yang sama. Dan hanya dengan demikian semua lalu lintas ini akan bergabung menjadi satu aliran dan memalu satu "pipa" dengan erat.

Apa yang tidak bisa diketahui oleh dosser adalah kapasitas saluran dari target. Dan jika dia tidak menghitung kekuatan serangannya dengan benar dan tidak menyumbat saluran ke server sekaligus sebesar 100%, serangan itu dapat dengan cepat dan mudah ditolak. Menggunakan utilitas seperti TCPdump mudah untuk mengetahui bahwa lalu lintas masuk berasal dari DNS, dan menyangkalnya di tingkat Firewall. Opsi ini - penolakan untuk menerima lalu lintas dari DNS - dikaitkan dengan ketidaknyamanan tertentu untuk semua orang, namun, baik server maupun situs di dalamnya akan terus berfungsi dengan sukses.

Ini hanyalah salah satu dari banyak pilihan untuk meningkatkan serangan. Ada banyak jenis serangan lain, kita bisa membicarakannya lain kali. Sementara itu, saya ingin meringkas bahwa semua hal di atas berlaku untuk serangan yang kekuatannya tidak melebihi bandwidth ke server.

Jika serangannya kuat

Jika kekuatan serangan melebihi kapasitas saluran ke server, hal berikut terjadi. Saluran Internet langsung tersumbat ke server, lalu ke situs hosting, ke penyedia Internetnya, ke penyedia tingkat yang lebih tinggi, dan seterusnya dan ke atas (dalam jangka panjang - hingga batas yang paling tidak masuk akal), sejauh kekuatan serangan akan.

Dan saat itulah menjadi masalah global untuk semua. Singkatnya, inilah yang harus kami tangani pada 20 November 2013. Dan ketika guncangan skala besar terjadi, saatnya untuk mengaktifkan sihir khusus!

Sesuatu seperti ini terlihat seperti sihir khusus.Dengan bantuan sihir ini, dimungkinkan untuk menghitung server yang menjadi tujuan lalu lintas dan memblokir IP-nya di tingkat penyedia Internet. Sehingga berhenti menerima panggilan apa pun ke IP ini melalui saluran komunikasinya dengan dunia luar (uplink). Pecinta istilah: para ahli menyebut prosedur ini "Lubang hitam", dari lubang hitam Inggris.

Dalam hal ini, server yang diserang dengan 500-1500 akun tetap tanpa IP-nya. Subnet baru dari alamat IP dialokasikan untuk itu, di mana akun klien didistribusikan secara acak. Selanjutnya, para ahli sedang menunggu pengulangan serangan itu. Hampir selalu berulang.

Dan ketika berulang, pada IP yang diserang tidak ada lagi 500-1000 akun, tetapi selusin atau dua.

Lingkaran tersangka menyempit. 10-20 akun ini didistribusikan lagi ke alamat IP yang berbeda. Dan lagi-lagi para insinyur menunggu penyergapan untuk mengulangi serangan itu. Lagi dan lagi, akun yang dicurigai tersebar di alamat IP yang berbeda, dan, secara bertahap mendekati, target serangan dihitung. Semua akun lain saat ini kembali ke operasi normal pada IP sebelumnya.

Seperti yang jelas, ini bukan prosedur instan, butuh waktu untuk diterapkan.

Mitos nomor empat:“Saat ada serangan besar-besaran, hoster saya tidak punya action plan. Dia hanya menunggu, memejamkan mata, kapan pengeboman akan berakhir, dan membalas surat-surat saya dengan jenis balasan yang sama.”Ini tidak terjadi: jika terjadi serangan, penyedia hosting bertindak sesuai rencana untuk melokalisasinya sesegera mungkin dan menghilangkan konsekuensinya. Dan huruf dengan jenis yang sama memungkinkan Anda untuk menyampaikan esensi dari apa yang terjadi dan pada saat yang sama menghemat sumber daya yang diperlukan untuk mengatasi situasi darurat secepat mungkin..

Apakah ada cahaya di ujung terowongan?

Sekarang kita melihat bahwa aktivitas DDoS terus meningkat. Memesan serangan menjadi sangat terjangkau dan sangat murah. Untuk menghindari tuduhan propaganda, tidak akan ada pruflinks. Tapi mengambil kata kami untuk itu, itu.

Mitos nomor lima: “Serangan DDoS adalah peristiwa yang sangat mahal, dan hanya taipan bisnis yang mampu memesannya. Dalam kasus ekstrim, ini adalah intrik dari dinas rahasia!" Bahkan, acara semacam itu menjadi sangat mudah diakses.

Oleh karena itu, tidak ada alasan untuk mengharapkan bahwa aktivitas jahat akan mereda dengan sendirinya. Sebaliknya, itu hanya akan tumbuh lebih kuat. Yang tersisa hanyalah menempa dan mengasah senjata. Apa yang kami lakukan, meningkatkan infrastruktur jaringan.

Sisi hukum dari masalah

Ini adalah aspek yang sama sekali tidak populer dalam diskusi serangan DDoS, karena kita jarang mendengar tentang kasus menangkap dan menghukum para penghasut. Namun, Anda harus ingat: Serangan DDoS adalah pelanggaran pidana. Di sebagian besar negara di dunia, termasuk Federasi Rusia.

Mitos nomor enam: « Sekarang saya cukup tahu tentang DDoS, saya akan memesan liburan untuk pesaing - dan tidak ada yang akan datang kepada saya untuk itu!" Ada kemungkinan bahwa itu akan terjadi. Dan jika ya, sepertinya tidak sedikit.

• Menautkan cerita DDoS sistem pembayaran Membantu
• Pengakhiran yang mengasyikkan

Secara umum, kami tidak menyarankan siapa pun untuk terlibat dalam praktik jahat DDoS, agar tidak menimbulkan murka keadilan dan tidak membengkokkan karma mereka. Dan kami, karena kekhususan aktivitas kami dan minat penelitian yang tajam, terus mempelajari masalahnya, berjaga-jaga dan meningkatkan struktur pertahanan.

PS:kami tidak memiliki kata-kata hangat yang cukup untuk mengungkapkan rasa terima kasih kami, jadi kami hanya mengatakan"Terima kasih!" kepada klien kami yang sabar yang dengan hangat mendukung kami pada hari sulit tanggal 20 November 2013. Anda telah mengucapkan banyak kata-kata penyemangat dalam dukungan kami di

Pada sistem komputer untuk membawanya ke kegagalan, yaitu penciptaan kondisi di mana pengguna sistem yang sah (sah) tidak dapat mengakses sumber daya (server) yang disediakan oleh sistem, atau akses ini sulit. Kegagalan sistem "musuh" juga dapat menjadi langkah untuk menguasai sistem (jika, dalam situasi darurat, perangkat lunak memberikan informasi penting apa pun - misalnya, versi, bagian dari kode program, dll.). Tetapi lebih sering itu adalah ukuran tekanan ekonomi: waktu henti layanan yang menghasilkan pendapatan, tagihan dari penyedia, dan langkah-langkah untuk menghindari serangan mencapai target secara signifikan.

Jika serangan dilakukan secara bersamaan dari sejumlah besar komputer, mereka berbicara tentang serangan DDoS(dari bahasa Inggris. Penolakan Layanan Terdistribusi, serangan penolakan layanan terdistribusi). Dalam beberapa kasus, serangan DDoS yang sebenarnya dipicu oleh tindakan yang tidak diinginkan, misalnya, menempatkan tautan pada sumber daya Internet populer ke situs yang dihosting di server yang tidak terlalu produktif (efek slashdot). Masuknya besar pengguna menyebabkan melebihi beban yang diizinkan di server dan, akibatnya, penolakan layanan untuk beberapa dari mereka.

Jenis serangan DoS

Ada berbagai alasan untuk kondisi DoS:

• Kesalahan dalam kode program, yang mengarah ke akses ke bagian ruang alamat yang tidak digunakan, eksekusi instruksi yang tidak valid, atau pengecualian lain yang tidak ditangani ketika penghentian abnormal program server - program server terjadi. Contoh klasik adalah pembalikan nol (eng. batal) alamat.
• Validasi data pengguna tidak memadai mengarah ke siklus yang tak terbatas atau panjang atau peningkatan konsumsi sumber daya prosesor jangka panjang (hingga habisnya sumber daya prosesor) atau alokasi dalam jumlah besar memori akses acak(sampai kehabisan memori yang tersedia).
• Banjir(eng. banjir- "flood", "overflow") - serangan yang terkait dengan sejumlah besar permintaan yang biasanya tidak berarti atau diformat dengan tidak benar ke sistem komputer atau peralatan jaringan, yang ditujukan atau menyebabkan kegagalan sistem karena kehabisan sumber daya sistem - prosesor, memori, atau saluran komunikasi.
• Serangan tipe II- serangan yang berusaha menyebabkan operasi palsu dari sistem perlindungan dan dengan demikian menyebabkan tidak tersedianya sumber daya.

Jika serangan (biasanya banjir) dilakukan secara bersamaan dari sejumlah besar alamat IP - dari beberapa komputer yang tersebar di jaringan - maka dalam hal ini disebut didistribusikan penolakan serangan layanan ( DDoS).

Mengeksploitasi kesalahan

Mengeksploitasi mengacu pada program, bagian dari kode perangkat lunak, atau urutan perintah perangkat lunak yang mengeksploitasi kerentanan dalam perangkat lunak dan digunakan untuk menyerang sistem cyber. Di antara eksploitasi yang mengarah ke serangan DoS, tetapi tidak cocok, misalnya, untuk mengendalikan sistem "musuh", yang paling terkenal adalah WinNuke dan Ping kematian.

Banjir

Untuk banjir sebagai pelanggaran netiket, lihat Banjir.

Banjir memanggil aliran besar permintaan tidak berarti dari komputer yang berbeda untuk menduduki sistem "musuh" (prosesor, RAM, atau saluran komunikasi) dengan pekerjaan dan dengan demikian menonaktifkannya untuk sementara. Konsep "serangan DDoS" secara praktis setara dengan konsep "banjir", dan dalam kehidupan sehari-hari keduanya sering digunakan secara bergantian ("membanjiri server" = "mengganti server DDoS").

Untuk membuat banjir, baik utilitas jaringan biasa seperti ping (ini dikenal, misalnya, komunitas Internet "Upyachka"), dan program khusus dapat digunakan. Kemampuan DDoS sering "dijahit" ke dalam botnet. Jika kerentanan skrip lintas situs atau kemampuan untuk menyertakan gambar dari sumber lain ditemukan di situs dengan lalu lintas tinggi, situs ini juga dapat digunakan untuk serangan DDoS.

Saluran komunikasi dan banjir subsistem TCP

Setiap komputer yang berkomunikasi dengan dunia luar melalui TCP / IP tunduk pada jenis banjir berikut:

• SYN flood - dalam jenis serangan banjir ini, a sejumlah besar Paket SYN melalui TCP (permintaan untuk membuka koneksi). Pada saat yang sama, setelah beberapa saat, jumlah soket yang tersedia untuk dibuka (soket jaringan perangkat lunak, port) pada komputer yang diserang habis dan server berhenti merespons.
• Banjir UDP - banjir jenis ini tidak menyerang komputer target, tetapi saluran komunikasinya. ISP secara wajar berasumsi bahwa paket UDP harus dikirimkan terlebih dahulu, dan TCP dapat menunggu. Sejumlah besar paket UDP dengan ukuran berbeda menyumbat saluran komunikasi, dan server yang menjalankan protokol TCP berhenti merespons.
• Banjir ICMP - sama, tetapi menggunakan paket ICMP.

Banjir tingkat aplikasi

Banyak layanan dirancang sedemikian rupa sehingga permintaan kecil dapat menyebabkan konsumsi daya komputasi yang besar di server. Dalam hal ini, bukan saluran komunikasi atau subsistem TCP yang diserang, tetapi layanan itu sendiri (layanan) itu sendiri - oleh banjir permintaan "sakit" semacam itu. Misalnya, server web rentan terhadap banjir HTTP - GET sederhana / atau kueri basis data kompleks seperti GET /index.php?search= dapat digunakan untuk menonaktifkan server web.<случайная строка> .

Deteksi serangan DoS

Diyakini bahwa alat khusus tidak diperlukan untuk mendeteksi serangan DoS, karena fakta serangan DoS tidak dapat diabaikan. Dalam banyak kasus, ini benar. Namun, cukup sering serangan DoS yang berhasil diamati, yang diketahui oleh para korban hanya setelah 2-3 hari. Itu terjadi bahwa konsekuensi negatif dari serangan itu ( banjir serangan) mengakibatkan pengeluaran yang tidak perlu untuk membayar lalu lintas Internet berlebih, yang terungkap hanya saat menerima faktur dari penyedia Internet. Selain itu, banyak metode deteksi intrusi tidak efektif di dekat target, tetapi efektif pada tulang punggung jaringan. Dalam hal ini, disarankan untuk menginstal sistem deteksi di sana, dan tidak menunggu pengguna yang diserang untuk menyadarinya dan meminta bantuan. Selain itu, untuk melawan serangan DoS secara efektif, perlu diketahui jenis, sifat, dan karakteristik lain dari serangan DoS, dan sistem deteksi memungkinkan Anda memperoleh informasi ini dengan cepat.

Metode deteksi serangan DoS dapat dibagi menjadi beberapa kelompok besar:

• berbasis tanda tangan - berdasarkan analisis lalu lintas kualitatif.
• statistik - berdasarkan analisis lalu lintas kuantitatif.
• hybrid (gabungan) - menggabungkan keunggulan kedua metode di atas.

perlindungan DoS

Penanggulangan terhadap serangan DoS dapat dibagi menjadi pasif dan aktif, serta preventif dan reaktif.

Dibawah ini adalah daftar pendek metode dasar.

• Pencegahan. Pencegahan alasan yang mendorong orang-orang tertentu untuk mengatur dan melakukan serangan DoS. (Serangan siber seringkali merupakan hasil dari keluhan pribadi, politik, agama, dan ketidaksepakatan lainnya, memprovokasi perilaku korban, dll.)
• Penyaringan dan blackholing. Memblokir lalu lintas dari mesin penyerang. Efektivitas metode ini berkurang saat Anda semakin dekat dengan target serangan dan meningkat saat Anda semakin dekat dengan mesin penyerang.
• DDOS terbalik- mengarahkan lalu lintas yang digunakan untuk serangan ke penyerang.
• Penghapusan kerentanan. Tidak bekerja melawan banjir- serangan di mana "kerentanan" adalah keterbatasan sumber daya sistem tertentu.
• Membangun sumber daya. Secara alami, ini tidak memberikan perlindungan mutlak, tetapi merupakan latar belakang yang baik untuk penerapan jenis perlindungan lain terhadap serangan DoS.
• Penyebaran. Membangun sistem terdistribusi dan menduplikasi yang tidak akan berhenti melayani pengguna, bahkan jika beberapa elemen mereka menjadi tidak tersedia karena serangan DoS.
• Penghindaran. Memindahkan target langsung serangan (nama domain atau alamat IP) dari sumber lain, yang sering juga terpengaruh bersama dengan target langsung serangan.
• Respon proaktif. Dampak pada sumber, penyelenggara atau pusat kendali serangan, baik oleh buatan manusia maupun dengan cara organisasi dan hukum.
• Penggunaan peralatan untuk mengusir serangan DoS. Misalnya DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® dan produsen lainnya.
• Membeli layanan untuk melindungi dari serangan DoS. Relevan jika banjir melebihi bandwidth saluran jaringan.

Lihat juga

Catatan (edit)

literatur

• Chris Kaspersky virus komputer di dalam dan di luar. - Petrus. - SPb. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
• Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analisis pelanggaran keamanan tipikal dalam jaringan = Tanda Tangan dan Analisis Intrusi. - Penerbitan Penunggang Baru (Bahasa Inggris) SPb .: Rumah penerbitan "Williams" (Rusia), 2001. - P. 464. - ISBN 5-8459-0225-8 (Rusia), 0-7357-1063-5 ( Inggris)
• Morris, R.T= Kelemahan pada Software 4.2BSD Unix TCP/IP. - Laporan Teknis Ilmu Komputer No.117. - AT&T Bell Laboratories, Februari 1985.
• Bellovin, S.M.= Masalah Keamanan di Suite protokol TCP / IP. - Tinjauan Komunikasi Komputer, Vol. 19, No.2. - Laboratorium AT&T Bell, April 1989.
• = daemon9 / route / infinity "IP-spooling Demystified: Trust Realationship Exploitation". - Majalah Phrack, Vol.7, Edisi 48 .-- Guild Production, Juli 1996.
• = daemon9 / route / infinity "Proyek Neptunus". - Majalah Phrack, Vol.7, Edisi 48 .-- Guild Production, Juli 1996.

Tautan

• serangan DoS di direktori tautan Proyek Direktori Terbuka (

Serangan DDoS (Serangan Distributed Denial of Service) adalah serangkaian tindakan yang dapat sepenuhnya atau sebagian menonaktifkan sumber daya Internet. Hampir semua sumber daya Internet, seperti situs web, server game, atau sumber daya pemerintah, dapat bertindak sebagai korban. Saat ini, hampir tidak mungkin bagi seorang peretas untuk mengatur serangan DDoS seorang diri. Dalam kebanyakan kasus, penyerang menggunakan jaringan komputer yang terinfeksi virus. Virus memungkinkan Anda untuk mendapatkan yang diperlukan dan cukup akses jarak jauh ke komputer yang terinfeksi. Jaringan komputer semacam itu disebut botnet. Biasanya, botnet memiliki server koordinasi. Memutuskan untuk meluncurkan serangan, penyerang mengirimkan perintah ke server koordinator, yang pada gilirannya memberi sinyal kepada semua orang untuk mulai membuat permintaan jaringan berbahaya.

Alasan serangan DDoS

• Permusuhan pribadi

Alasan ini cukup umum. Beberapa waktu lalu, jurnalis riset independen Brian Krebs mengungkapkan aktivitas layanan terbesar untuk melakukan serangan DDoS khusus - vDOS. Informasi itu disajikan secara lengkap, yang menyebabkan penangkapan penyelenggara layanan ini. Sebagai tanggapan, para peretas meluncurkan serangan ke blog jurnalis, yang kekuatannya mencapai 1 Tbit / s. Serangan ini menjadi yang paling kuat di dunia sepanjang tahun.

• Hiburan

Saat ini, menjadi lebih mudah untuk mengatur serangan DDoS primitif Anda sendiri. Serangan seperti itu akan sangat tidak sempurna dan tidak anonim. Sayangnya, sebagian besar dari mereka yang memutuskan untuk merasa seperti "peretas" tidak tahu tentang yang pertama atau yang kedua. Namun, banyak anak sekolah sering melakukan serangan DDoS. Hasil dari kasus-kasus seperti itu sangat beragam.

• Protes politik (hacktivisme)

Salah satu serangan pertama dengan motif sosial adalah serangan DDoS yang dilakukan pada tahun 1996 oleh peretas Omega. Omega adalah anggota koalisi hacker Cult of the Dead Crew (cDc). Istilah “hacktivism” telah menjadi populer di media karena meningkatnya frekuensi serangan siber dengan basis sosial. Hacktivists tipikal adalah grup Anonymous dan LulzSec.

• Persaingan tidak sehat

Motif seperti itu umum di industri server game, tetapi di industri ritel, kasus seperti itu cukup umum. Cukup cara yang efisien persaingan tidak sehat yang dapat merusak reputasi platform perdagangan jika pemiliknya tidak meminta bantuan spesialis tepat waktu. Motif ini dapat dibedakan dari yang lain sebagai yang paling umum.

• Pemerasan atau pemerasan

Dalam hal ini, penyerang menuntut sejumlah uang dari calon korban karena tidak melakukan penyerangan. Atau untuk penghentiannya. Organisasi besar sering menjadi korban serangan semacam itu, misalnya, selama tahun 2014 bank Tinkoff dan sumber daya TI Habrahabr, pelacak torrent terbesar Rutracker.org, diserang (bagaimana itu?).

Konsekuensi dari serangan DDoS

Konsekuensi dari serangan DDoS bisa sangat beragam, mulai dari penghentian server Anda oleh pusat data hingga hilangnya reputasi sumber daya dan lalu lintas klien sepenuhnya. Banyak organisasi tanpa sadar memilih penyedia keamanan yang tidak bermoral untuk menghemat uang, yang seringkali tidak membawa manfaat apa pun. Untuk menghindari masalah seperti itu, kami sarankan Anda menghubungi profesional di industri Anda.

Serangan yang telah turun dalam sejarah Internet

Kemajuan teknologi terjadi dengan pesat, dan penyerang, pada gilirannya, melakukan segala upaya untuk tidak diam dan menerapkan serangan yang semakin kompleks dan kuat. Kami telah menyusun deskripsi singkat tentang kasus paling menarik yang pernah terjadi dalam sejarah serangan DDoS. Beberapa dari mereka mungkin tampak umum menurut standar modern, tetapi pada saat itu terjadi, ini adalah serangan berskala sangat besar.

Ping Mati. Metode serangan berdasarkan penggunaan perintah ping. Serangan ini mendapatkan popularitas pada 1990-an karena peralatan jaringan yang tidak sempurna. Inti dari serangan ini adalah mengirim permintaan ping tunggal ke node jaringan, sementara isi paket tidak mencakup 64 byte data standar, tetapi 65535 byte. Setelah menerima paket seperti itu, tumpukan jaringan peralatan meluap dan menyebabkan penolakan layanan.

Serangan yang mempengaruhi stabilitas Internet. Pada 2013, Spamhaus menjadi korban serangan 280 Gbps. Yang paling menarik adalah bahwa untuk serangan itu, para peretas menggunakan server DNS dari Internet, yang pada gilirannya sangat sarat dengan sejumlah besar permintaan. Pada hari itu, jutaan pengguna mengeluh tentang lambatnya memuat halaman karena kemacetan layanan.

Rekam serangan dengan lalu lintas lebih dari 1 Tbps. Pada tahun 2016, peretas mencoba menyerang kami dengan serangan paket pada 360 Mpps dan 1 Tbps. Angka ini menjadi rekor bagi seluruh keberadaan internet. Tetapi bahkan di bawah serangan seperti itu, kami menolak dan beban pada jaringan hanya sedikit membatasi sumber daya gratis dari peralatan jaringan.

Karakteristik serangan hari ini

Tidak termasuk serangan puncak, kita dapat mengatakan bahwa kekuatan serangan tumbuh lebih dari 3-4 kali setiap tahun. Geografi penyerang hanya berubah sebagian dari tahun ke tahun, karena ini disebabkan oleh jumlah maksimum komputer di negara tertentu... Seperti yang dapat dilihat dari laporan triwulanan 2016 yang disiapkan oleh spesialis kami, Rusia, AS, dan China adalah negara pemecah rekor dalam jumlah bot.

Apa saja jenis serangan DDoS?

Saat ini, jenis serangan dapat dibagi menjadi 3 kelas:

Serangan saluran overflow

Jenis serangan ini meliputi, dan;

Serangan yang mengeksploitasi kerentanan dalam tumpukan protokol jaringan

Serangan yang paling populer dan menarik dari jenis ini adalah, / serangan,

Mengapa memilih kami? Peralatan kami terletak di pusat data utama di seluruh dunia dan mampu menangkis serangan hingga 300 Gbps atau 360 juta paket per detik. Kami juga telah mengorganisir jaringan pengiriman konten () dan memiliki staf insinyur yang bertugas jika terjadi serangan non-standar atau situasi darurat. Oleh karena itu, setelah berada di bawah perlindungan kami, Anda dapat yakin bahwa sumber daya Anda tersedia 24/7. Kami dipercaya oleh: REG.RU, Argumenty i Fakty, WebMoney, perusahaan induk radio Rusia GPM dan perusahaan lainnya.

Anda dapat menerapkan perlindungan sendiri terhadap sejumlah kecil serangan menggunakan analisis lalu lintas atau menyiapkan aturan perutean. Metode untuk perlindungan terhadap beberapa serangan diberikan di.

Anda tidak perlu memesan serangan DDoS. Bayar para peretas dan pikirkan kepanikan pesaing Anda. Pertama dari kursi direktur, dan kemudian dari ranjang penjara.

Kami akan menjelaskan mengapa beralih ke peretas adalah hal terakhir yang harus dilakukan oleh pengusaha yang jujur ​​dan bagaimana ancamannya.

Cara membuat serangan DDoSbahkan anak sekolah pun tahu

Saat ini, alat untuk mengatur serangan DDoS tersedia untuk semua orang. Hambatan masuk untuk peretas pemula rendah. Oleh karena itu, pangsa serangan singkat namun kuat di situs Rusia ditingkatkan . Sepertinya kelompok hacker hanya berlatih keterampilan.

Sebuah kasus ilustratif. Pada tahun 2014 Portal pendidikan Republik Tatarstan telah mengalami serangan DDoS. Sekilas, tidak ada gunanya menyerang: ini bukan organisasi komersial dan tidak ada yang bisa diminta darinya. Portal menyediakan nilai, jadwal kelas, dan sebagainya. Tidak lagi. Pakar Kaspersky Lab menemukan grup Vkontakte, tempat siswa dan anak sekolah Tatarstan berdiskusi cara membuat serangan DDoS.

Komunitas pejuang muda dengan sistem Republik Tatarstan

Pertanyaan turunan dari "bagaimana melakukan serangan DDoS di Tatarstan" mengarahkan pakar keamanan siber ke pengumuman yang menarik. Para pemain dengan cepat ditemukan dan mereka harus untuk membayar ganti rugi.

Mereka dulu merobek halaman di buku harian, tapi sekarang mereka meretas situs

Karena kesederhanaan serangan DDoS, mereka diambil oleh pemula tanpa prinsip moral dan pemahaman tentang kemampuan mereka. Mereka juga dapat menjual kembali data pelanggan. Peremajaan penyerang DDoS adalah tren global.

Hukuman penjara musim semi 2017 diterima oleh seorang mahasiswa Inggris. Ketika dia berusia 16 tahun, dia menciptakan program untuk serangan DDoS Titanium Stresser. Orang Inggris itu memperoleh 400 ribu pound sterling (29 juta rubel) dari penjualannya. Dengan bantuan program DDoS ini, 2 juta serangan dilakukan terhadap 650 ribu pengguna di seluruh dunia.

Para remaja itu ternyata adalah anggota kelompok besar DDoS Lizard Squad dan PoodleCorp. Anak muda Amerika telah menemukan mereka sendiri program DDoS, tetapi menggunakannya untuk menyerang server game untuk mendapatkan keuntungan dalam game online. Jadi mereka menemukan mereka.

Apakah akan mempercayai reputasi perusahaan kepada anak-anak sekolah kemarin, semua orang memutuskan untuk dirinya sendiri.

Hukuman untukprogram DDoSdi Rusia

Cara membuat serangan DDoStertarik pada pengusaha yang tidak ingin bermain sesuai aturan persaingan. Ini adalah karyawan Departemen "K" Kementerian Dalam Negeri Rusia. Mereka menangkap para pemain.

Hukum Rusia memberikan hukuman untuk kejahatan dunia maya. Berdasarkan praktik yang ditetapkan, para peserta dalam serangan DDoS dapat termasuk dalam artikel berikut.

Pelanggan.Tindakan mereka biasanya jatuh di bawah- akses ilegal ke dilindungi secara hukum informasi komputer.

Hukuman:penjara hingga tujuh tahun atau denda hingga 500 ribu rubel.

Contoh... Seorang karyawan departemen perlindungan teknis informasi administrasi kota Kurgan dihukum berdasarkan pasal ini. Dia mengembangkan program Meta multifungsi. Dengan bantuannya, penyerang mengumpulkan data pribadi 1,3 juta penduduk wilayah tersebut. Setelah - ia dijual ke bank dan agen penagihan. Hacker menerima dua tahun penjara.

pemain.Sebagai aturan, mereka dihukum oleh pasal 273 KUHP Federasi Rusia - pembuatan, penggunaan, dan distribusi program komputer berbahaya.

Hukuman.Penjara hingga tujuh tahun dengan denda hingga 200 ribu rubel.

Contoh.Siswa berusia 19 tahun dari Togliatti menerima 2,5 tahun masa percobaan dan denda 12 juta rubel. Dengan menggunakan program untuk serangan DDoS yang dia coba hancurkan sumber informasi dan situs web bank. Setelah penyerangan, mahasiswa tersebut memeras uang.

Pengguna yang ceroboh.Kegagalan untuk mematuhi aturan keselamatan saat menyimpan data dapat dihukum oleh Pasal 274 KUHP Federasi Rusia - pelanggaran aturan untuk operasi penyimpanan, pemrosesan atau transmisi informasi komputer dan informasi dan jaringan telekomunikasi.

Hukuman:penjara hingga lima tahun atau denda hingga 500 ribu rubel.

Contoh.Jika, selama mengakses informasi, uang dicuri dengan cara apa pun, artikel tersebut akan dikualifikasikan kembali sebagai penipuan di bidang informasi komputer (). Jadi dua tahun di koloni hukuman mendapatkan hacker Ural yang mendapat akses ke server bank.

Serangan di media.Jika serangan DDoS ditujukan untuk melanggar hak jurnalistik, tindakan tersebut termasuk - menghalangi aktivitas profesional yang sah dari seorang jurnalis.

Hukuman:penjara hingga enam tahun atau denda hingga 800 ribu rubel.

Contoh.Artikel ini sering direklasifikasi menjadi yang lebih berat. Cara membuat serangan DDoS tahu mereka yang menyerang Novaya Gazeta, Ekho Moskvy dan Bolshoi Gorod. Publikasi regional juga menjadi korban peretas.

Di Rusia, hukuman berat untuk penggunaan program DDoS ... Anonimitas dari Office "K" tidak akan menyelamatkan Anda.

Program untuk serangan DDoS

Menurut para ahli, 2.000 bot sudah cukup untuk menyerang situs rata-rata. Biaya serangan DDoS mulai dari $20 (RUB 1.100). Jumlah saluran penyerang dan waktu pengoperasian dibahas satu per satu. Ada juga pemerasan.

Seorang hacker yang layak akan melakukan tes penetrasi sebelum serangan. Militer akan menyebut metode ini "pengintaian yang berlaku." Inti dari tes penetrasi adalah serangan terkontrol kecil untuk mengetahui sumber daya perlindungan situs.

Fakta yang menarik.Cara membuat serangan DDoSbanyak orang tahu, tapi kekuatan seorang hacker ditentukan oleh botnet. Penjahat sering mencuri kunci akses ke "tentara" dari satu sama lain dan kemudian menjualnya kembali. Trik yang terkenal adalah "menempatkan" wi-fi sehingga akan reboot secara paksa dan kembali ke pengaturan dasar. Dalam keadaan ini, kata sandinya standar. Kemudian penyerang mendapatkan akses ke semua lalu lintas di organisasi.

Tren peretas terbaru adalah meretas perangkat pintar untuk memasang penambang cryptocurrency di dalamnya. Tindakan ini dapat memenuhi syarat di bawah klausa penggunaan perangkat lunak perusak(Pasal 273 KUHP Federasi Rusia). Jadi petugas FSB administrator sistem Pusat Kontrol Misi ditahan. Dia memasang penambang di peralatan kerja dan memperkaya dirinya sendiri. Penyerang dihitung dengan lonjakan daya.

Peretas akan melakukan serangan DDoS pada pesaing. Kemudian mereka bisa mendapatkan akses ke daya komputasinya dan menambang satu atau dua bitcoin. Hanya pendapatan ini yang tidak akan sampai ke pelanggan.

Risiko memesan serangan DDoS

Mari kita rangkum dengan menimbang keuntungan dan kerugian dari memesan serangan DDoS pada pesaing.

Jika bisnis terganggu oleh pesaing, peretas tidak akan membantu. Mereka hanya akan memperburuk keadaan. Agensi "Hiu Digital" informasi yang tidak diinginkan dengan cara hukum.