Macsed DDOS თავდასხმები. რუსულ ბანკებზე მასიური DDO- ების თავდასხმის ფაქტზე FSB- მა სისხლის სამართლის საქმე გახსნა

თავდასხმა, რომლის დროსაც მომხმარებლებს არ შეუძლიათ სხვა რესურსების ხელმისაწვდომობა, ეწოდება DDOS თავდასხმას, ან "მარცხი შენარჩუნების" პრობლემა. ასეთი ჰაკერების თავდასხმების ძირითადი ფუნქცია ერთდროულად ითხოვს მსოფლიოს მასშტაბით კომპიუტერების ერთდროულად, და ისინი ძირითადად დაცული არიან კარგად დაცული კომპანიების ან სამთავრობო ორგანიზაციების სერვერებზე, ნაკლებად ხშირად - ერთიანი არაკომერციული რესურსებით.

კომპიუტერი, რომელიც ინფიცირებულია, ხდება "zombies" და ჰაკერების მსგავსება რამდენიმე ასეული, შემდეგ კი ათობით ათასი ასეთი "zombies", გამოიწვიოს რესურსების უკმარისობა (უარი თქვას).

DDOS- ის თავდასხმის მიზეზები შეიძლება იყოს ბევრი. შევეცადოთ, რომ ყველაზე პოპულარულია და ამავე დროს უპასუხებს კითხვებს: "DDOS თავდასხმა - რა არის ის, როგორ უნდა დაიცვას საკუთარი თავი, რა არის მისი შედეგები და რას ნიშნავს ეს?"

კონკურსი

ინტერნეტი უკვე დიდი ხანია ბიზნეს იდეების წყაროა, დიდი პროექტების განხორციელება და სხვა გზების განხორციელება ძალიან დიდი ფულის მოსაპოვებლად, ამიტომ DDOS თავდასხმა შეიძლება გაკეთდეს. ანუ, თუ ორგანიზაციამ უნდა ამოიღოს იგი კონკურენტის შემთხვევაში, მაშინ მხოლოდ ხახურასთან დაკავშირება (ან ჯგუფის) მარტივი ამოცანაა - არასასურველი კომპანიის მუშაობის პარალიზება ინტერნეტ რესურსებით (DDOS თავდასხმა სერვერზე ან საიტზე).

კონკრეტული მიზნებისა და ამოცანების გათვალისწინებით, ეს თავდასხმა დადგენილია გარკვეული პერიოდის განმავლობაში და შესაბამისი ძალის გამოყენებით.

მოტყუება

ხშირ შემთხვევაში, DDOS თავდასხმის ადგილზე ორგანიზებულია ინიციატივით ჰაკერების, რათა დაბლოკოს სისტემა და წვდომის პირადი ან სხვა მნიშვნელოვანი წყაროები. მას შემდეგ, რაც თავდამსხმელები პარალიზებულია სისტემაში, მათ შეუძლიათ მოითხოვონ გარკვეული თანხა, რათა აღადგინონ თავდასხმის რესურსების შესრულება.

ბევრი ინტერნეტ მეწარმე ეთანხმება გაფართოებულ პირობებს, რომლებიც ხელს უწყობენ თავიანთ ქმედებებს ბოსალური დანაკარგების მუშაობაში და მიღებასთან დაკავშირებით - უფრო ადვილია გადაიხადოს მცირე თანხა, როგორც თაღლითობის კაცი, ვიდრე დაკარგვის მნიშვნელოვანი მოგება ყოველ დღე.

Გასართობი

ბევრი მომხმარებელი მხოლოდ ცნობისმოყვარეობისთვის ან გასართობად არის დაინტერესებული: "DDOS თავდასხმა - რა არის ეს და როგორ უნდა გავაკეთოთ ეს?" აქედან გამომდინარე, ხშირია შემთხვევები, როდესაც დამწყები ინტრუდერები მხიარულებისა და ნიმუშების გულისთვის შემთხვევითი რესურსების შესახებ ასეთ თავდასხმებს ატარებენ.

მიზეზებთან ერთად, DDOS თავდასხმებს აქვს საკუთარი კლასიფიკაციის ნიშნები.

  1. Andwidg. დღეს, თითქმის ყველა კომპიუტერის ადგილი აღჭურვილია ან ლოკალური ქსელიან უბრალოდ ინტერნეტთან დაკავშირება. აქედან გამომდინარე, ხშირია ქსელის წყალდიდობის შემთხვევები - სპეციფიკური რესურსების ან აღჭურვილობისთვის არასწორად ჩამოყალიბებული და უაზრო სისტემის დიდი რაოდენობით. მყარი დისკები, მეხსიერება და ა.შ.).
  2. დამღლელი სისტემა. ასეთი DDOS თავდასხმა Samp სერვერზე ხორციელდება Capture ფიზიკური მეხსიერება, პროცესორი დრო და სხვა სისტემური რესურსები, რომლის არარსებობის გამო, რომელიც თავს დაესხმება ობიექტს უბრალოდ არ არის სრულად მუშაობა.
  3. გაგრილება. Infinite მონაცემთა ტესტი და სხვა ციკლები მოქმედი "წრეში" აიძულებს ობიექტს გაატაროს ბევრი რესურსი, რითაც მეხსიერების მიღება სრული ამოწურვისთვის.
  4. ცრუ თავდასხმები. ასეთი ორგანიზაცია მიზნად ისახავს დაცვის სისტემების ყალბი რეაგირებას, რაც საბოლოო ჯამში გარკვეულ რესურსებს დაბლოკავს.
  5. Http პროტოკოლი. ჰაკერები ძალადობრივი HTTP პაკეტები სპეციალური დაშიფვრის, ბუნებრივია, ბუნებრივია, ვერ ხედავს, რომ DDOS თავდასხმა მასზეა ორგანიზებული, სერვერის პროგრამა, რომელიც ასრულებს თავის მუშაობას, ეხება ბევრად უფრო დიდი მოცულობის რეაგირების პაკეტებს, რითაც გამტარუნარიანობაა დაზარალებულის, რომელიც კვლავ იწვევს მომსახურების წარუმატებლობას.
  6. Smourf თავდასხმა. ეს არის ერთ-ერთი ყველაზე საშიში სახეობა. Hacker მეშვეობით სამაუწყებლო არხი აგზავნის დაზარალებული ყალბი ICMP პაკეტი, სადაც დაზარალებულის მისამართი შეიცვალა თავდამსხმელი მისამართი, და ყველა კვანძების დაიწყოს გაგზავნის პასუხი ping თხოვნით. ეს DDOS თავდასხმა არის პროგრამა, რომელიც მიმართულია დიდი ქსელის გამოყენების შესახებ, I.E. 100 კომპიუტერთან მკურნალობის მოთხოვნა 100-ჯერ გაძლიერდება.
  7. UDP- წყალდიდობა. ამ ტიპის თავდასხმა არის მსგავსი მსგავსი წინა, მაგრამ ნაცვლად ICMP პაკეტების, intruders გამოიყენოთ UDP პაკეტები. ამ მეთოდის არსი არის შეცვალოს დაზარალებულის IP მისამართი Hacker მისამართი და მთლიანად ჩამოტვირთოთ სიჩქარეს, რომელიც ასევე გამოიწვევს სისტემის უკმარისობას.
  8. წყალდიდობა.. თავდამსხმელები ცდილობენ ერთდროულად აწარმოონ TCP კავშირების დიდი რაოდენობა Syn Channel- ის მეშვეობით არასწორი ან არ არის დაშვებული საპირისპირო მისამართი. რამდენიმე ასეთი მცდელობის შემდეგ ოპერატიული სისტემა რიგში, პრობლემის კავშირი არის მითითებული და მხოლოდ მას შემდეგ, რაც მას შემდეგ, რაც მას შემდეგ, რაც მას შემდეგ, Syn Channel Stream საკმაოდ დიდია და მალე, მრავალფეროვანი მცდელობის შემდეგ, დაზარალებულის ბირთვი უარს ამბობს ნებისმიერი ახალი ქსელის ფუნქციონირების გზით.
  9. "მძიმე პაკეტები". ეს სახეობები პასუხს აძლევს პასუხს: "რა არის DDOS- ის თავდასხმის სერვერი?" ჰაკერები მომხმარებლის სერვერზე პაკეტების გაგზავნას, მაგრამ გამტარუნარიანობის გაჯერება არ ხდება, აქცია მხოლოდ პროცესორისთვისაა განკუთვნილი. შედეგად, ასეთი პაკეტები ხელს უწყობს სისტემაში მარცხი, და, თავის მხრივ, მათი რესურსებით.
  10. შესვლა ფაილი. თუ ციტატა და როტაციის სისტემა აქვს შიშველი ჩანთა, თავდამსხმელებს შეუძლიათ გააგზავნონ დიდი პაკეტების მოცულობა, რითაც სერვერის ხისტი აკრიფეთ ყველა თავისუფალი სივრცე.
  11. პროგრამის კოდი. ჰაკერები ფართო გამოცდილებასთან ერთად სრულად შეისწავლონ დაზარალებულის სერვერის სტრუქტურა და სპეციალური ალგორითმების გაშვება (DDOS Attack - Explit Program). ასეთი თავდასხმები ძირითადად მიზნად ისახავს სხვადასხვა სფეროებისა და რეგიონების საწარმოებისა და ორგანიზაციების კარგად დაცულ კომერციულ პროექტებს. თავდამსხმელებმა პროგრამის კოდექსში მოიპოვონ ბარები და დაიწყონ არასწორი ინსტრუქციები ან სხვა განსაკუთრებული ალგორითმები, რომლებიც ხელს უწყობენ სისტემის ან მომსახურების საგანგებო შეჩერებას.

DDOS თავდასხმა: რა არის და როგორ უნდა დავიცვათ

DDOS- ის თავდასხმის მეთოდები ბევრი რამ არის. და ყველა მათგანი შეიძლება დაიყოს ოთხ ნაწილად: პასიური, აქტიური, რეაქციული და პრევენციული. რას გვეუბნებიან მეტი.

Გაფრთხილება

აქ თქვენ უნდა თავიდან ავიცილოთ პირდაპირ მიზეზები, რომლებიც შეიძლება პროვოცირებას DDOS თავდასხმა. ამ ტიპის შეიძლება გამოიწვიოს ზოგიერთი პირადი მტრული, სამართლებრივი უთანხმოება, კონკურენცია და სხვა ფაქტორები პროვოცირება "გაზრდილი" ყურადღება თქვენ, თქვენი ბიზნესი და ა.შ.

თუ ამ ფაქტორების რეაგირება და შესაბამისი დასკვნების გაკეთება, მაშინ ბევრი უსიამოვნო სიტუაცია თავიდან უნდა იქნას აცილებული. ეს მეთოდი შეიძლება მიეკუთვნოს პრობლემებს, ვიდრე საკითხი ტექნიკურ მხარეს.

რეაგირების ღონისძიებები

თუ თქვენს რესურსებზე თავდასხმები გაგრძელდება, აუცილებელია თქვენი პრობლემების წყარო - კლიენტი ან მხატვარი, როგორც იურიდიული და ტექნიკური ბერკეტების ექსპოზიციის გამოყენება. ზოგიერთი ფირმა უზრუნველყოფს ტექნიკურ გზას ინტრუდერების მოძიებას. ამ საკითხთან დაკავშირებით სპეციალისტების კვალიფიკაციის საფუძველზე, არა მხოლოდ Hacker ახორციელებს DDOS თავდასხმას, არამედ პირდაპირ მომხმარებელს თავად.

პროგრამული უზრუნველყოფა დაცვა

ზოგიერთი აპარატურის და პროგრამული მწარმოებლების ერთად მათი პროდუქციის შეუძლია შესთავაზოს საკმაოდ ბევრი ეფექტური გადაწყვეტილებები, და DDOS თავდასხმა საიტზე შეწყდება კვების. ცალკეულ პატარა სერვერზე, რომელიც მიზნად ისახავს მცირე და საშუალო DDO- ების თავდასხმების წინააღმდეგ, შეიძლება იყოს ტექნიკური დამცველი.

ეს გადაწყვეტილება მცირე და საშუალო ბიზნესისთვის არის სრულყოფილი. უფრო დიდი კომპანიებისთვის, საწარმოებისა და სამთავრობო უწყებებისათვის, არსებობს მთელი აპარატურის კომპლექსები DDOS- ის თავდასხმების წინააღმდეგ, რომელიც მაღალი ფასით, აქვს შესანიშნავი დამცავი მახასიათებლები.

ფილტტერატაცია

შემომავალი ტრაფიკის ჩაკეტვა და დეტალური ფილტრაცია საშუალებას მისცემს არა მხოლოდ თავდასხმის ალბათობას. ზოგიერთ შემთხვევაში, სერვერზე DDOS თავდასხმა შეიძლება მთლიანად გამორიცხული იყოს.

თქვენ შეგიძლიათ აირჩიოთ ორი ძირითადი გზა, რათა ფილტრის მოძრაობა - ეკრანები და სრული მარშრუტიზაცია სიაში.

ჩამონათვალი სიების გამოყენებით (ACL) საშუალებას გაძლევთ შემცირდეს მეორადი ოქმები TCP- ის მუშაობის შემაშფოთებლად და დაცული რესურსის ხელმისაწვდომობის სიჩქარის გარეშე. თუმცა, თუ ჰაკერები იყენებენ ბოტნეტებს ან მაღალი სიხშირის მოთხოვნებით. ეს მეთოდი ეს იქნება არაეფექტური.

ბევრად უკეთესია DDOS- ის თავდასხმებისგან დაცვა, მაგრამ მათი ერთადერთი მინუსი არის ის, რომ ისინი განკუთვნილია მხოლოდ კერძო და არაკომერციული ქსელებისთვის.

სარკე

ამ მეთოდის არსი არის თავდამსხმელის უკან შემომავალი მოძრაობის გადამისამართება. ამის გაკეთება შეგიძლია, რომელსაც ძლიერი სერვერები და კომპეტენტური სპეციალისტები იმყოფებოდნენ, რომელიც არა მარტო მოძრაობის გადამისამართებას, არამედ შეძლებს თავდამსხმელ აღჭურვილობას.

მეთოდი არ შეესაბამება, თუ არსებობს შეცდომები სისტემის სერვისებში, პროგრამის კოდებსა და სხვა ქსელში.

დაუცველობის ძიება

ამ ტიპის დაცვა მიზნად ისახავს ექსპლოიტების, პრობლემების მოგვარების შეცდომებს ვებ-პროგრამებში, ისევე როგორც სხვა სამსახურებს, რომლებიც პასუხისმგებელნი არიან ქსელში. მეთოდი უსარგებლოა წყალდიდობისგან, რომლებიც მიმართულია მოწყვლადობის მონაცემებზე.

თანამედროვე რესურსები

100% დაცვის გარანტია ამ მეთოდს არ შეუძლია. მაგრამ ეს საშუალებას გაძლევთ უფრო ეფექტურად განახორციელოს სხვა მოვლენები (ან კომპლექსი ასეთი), რათა თავიდან იქნას აცილებული DDOS თავდასხმები.

სისტემებისა და რესურსების განაწილება

რესურსების დუბლირება და სისტემების დისტრიბუცია საშუალებას მისცემს მომხმარებლებს თქვენს მონაცემებთან მუშაობა, მაშინაც კი, თუ ამ მომენტში DDOS თავდასხმა ხორციელდება თქვენს სერვერზე. განაწილებისათვის შეგიძლიათ გამოიყენოთ სხვადასხვა სერვერი ან ქსელის აღჭურვილობა, ასევე რეკომენდირებულია სხვადასხვა დუბლიკატების სისტემებში ფიზიკურად განსხვავებული სერვისების გაზიარება (თარიღი-ცენტრები).

ასეთი დაცვის მეთოდი დღეს ყველაზე ეფექტურია, იმ პირობით, რომ სწორი არქიტექტურული დიზაინი შეიქმნა.

თავის არიდება

ამ მეთოდის ძირითადი ფუნქციაა თავდასხმის ობიექტის გამომავალი და დაშორება, ანუ, ყველა სამუშაო რესურსი იმავე ადგილზე უნდა იყოს დაყოფილი და პოზიციონირებული მესამე მხარის ქსელში, ან თუნდაც ტერიტორიაზე სხვა სახელმწიფო. ეს საშუალებას მოგცემთ გადარჩეს ნებისმიერი თავდასხმა და შეინახოს შიდა IT სტრუქტურა.

DDOS- თავდასხმა დაცვის მომსახურება

მას შემდეგ, რაც ყველაფერს ამბობდა ასეთი თავდასხმის შესახებ, როგორიცაა DDOS თავდასხმა (რა არის და როგორ უნდა გაუმკლავდეთ მას), ჩვენ შეგვიძლია საბოლოოდ ერთი კარგი რჩევა. ბევრი მსხვილი ორგანიზაცია გთავაზობთ მომსახურებას, რათა თავიდან იქნას აცილებული და თავიდან აიცილოს ასეთი თავდასხმები. ძირითადად ასეთი კომპანიები იყენებენ მთელ რიგ ღონისძიებებს და სხვადასხვა მექანიზმებს, რომლებიც საშუალებას გაძლევთ დაიცვას თქვენი ბიზნესი ყველაზე DDOS თავდასხმებისგან. ექსპერტები და მცოდნეები იქ მუშაობენ, თუ თქვენი რესურსი ძვირია, ვარიანტი ოპტიმალურია (თუმცა) ერთ-ერთ კომპანიასთან მიმართებაში.

როგორ განახორციელოს DDOS თავდასხმა თქვენი ხელებით

იცის, ეს ნიშნავს, რომ შეიარაღებული - სწორი პრინციპი. მაგრამ გახსოვდეთ, რომ DDOS- ის თავდასხმების განზრახ ორგანიზაცია მხოლოდ ან პირთა ჯგუფია - სისხლის სამართლის დანაშაული, ამიტომ ეს მასალა მხოლოდ გაეცნოს.

ამერიკის შეერთებული შტატების საფრთხე პრევენციის მუშაკებმა შეიმუშავეს სერვერის ტვირთის სტაბილურობის შესამოწმებლად და თავდამსხმელების მიერ DDO- ების თავდასხმების შესაძლებლობა ამ თავდასხმის შემდგომ აღმოფხვრაზე.

ბუნებრივია, "ცხელი" გონება ამ იარაღს დეველოპერების წინააღმდეგ აღმოჩნდა და რა იბრძოდა. პროდუქტის კოდი სახელი - Loic. ეს პროგრამა თავისუფალია ხელმისაწვდომობით და პრინციპში, არ არის აკრძალული კანონით.

პროგრამის ინტერფეისი და ფუნქციონირება საკმაოდ მარტივია, მას შეუძლია ისარგებლოს DDOS- ის თავდასხმისთვის.

როგორ გავაკეთოთ ყველაფერი? ინტერფეისის პარკებში, საკმარისია IP დაზარალებულთა შესასვლელად, შემდეგ კი TCP და UDP ნაკადს და მოთხოვნის რაოდენობას. Voila - შემდეგ დაჭერით სანუკვარ ღილაკს, თავდასხმა დაიწყო!

ნებისმიერი სერიოზული რესურსი ბუნებრივად არ განიცდიან ამ პროგრამას, მაგრამ მცირე შეიძლება გარკვეული პრობლემების განიცდიან.

Qrator Labs, სპეციალობით DDOS თავდასხმების და ინტერნეტის რესურსების წვდომისას, მაღალსიჩქარიანი DDOS- ის თავდასხმების ფაქტი უმსხვილესი ვებ რესურსების გამოყენებით Memcache- ზე დაფუძნებული გამაძლიერებელი მეთოდების გამოყენებით (პროგრამული უზრუნველყოფა, რომელიც ახორციელებს მონაცემთა ქეშირების მომსახურებას შემთხვევითი წვდომის მეხსიერება დაფუძნებული hash მაგიდა).

23 თებერვლიდან 27, 2018 წლამდე, Memcache ტალღა ევროპის მასშტაბით გაძლიერდა DDOS თავდასხმების შემდეგ. ასეთი თავდასხმის ტექნიკა არის UDP- ის სატრანსპორტო საშუალებების მოუსმინე, რომელიც ექვემდებარება default memcache პარამეტრების დამონტაჟებას, ანუ, UDP წყალდიდობა რეალურად გამოიყენება - გაგზავნის კომპლექტი ყალბი UDP პაკეტების ერთეულის ერთეულის ფართო სპექტრი IP მისამართები.

Memcache უსაფრთხოების პრობლემები ცნობილია 2014 წლიდან, თუმცა, 2018 წელს, ეს დაუცველობა განსაკუთრებით ნათელი იყო: 25-26 თებერვალს, Qrator Labs- ის სპეციალისტებმა შეინიშნებოდა ინტერნეტის მასშტაბით, მათ შორის თავდასხმების ჩათვლით რუსეთი უმსხვილესი ქსელის რესურსები.

2017 წელს ჩინეთის OKee- ის გუნდის მკვლევართა ჯგუფმა ისაუბრა ასეთი თავდასხმების ორგანიზების შესაძლებლობაზე, მიუთითებს მათი პოტენციურად დესტრუქციული ძალა.

ბოლო რამდენიმე დღის განმავლობაში, ბევრმა წყაროებმა დაადასტურეს თავდასხმის ფაქტზე Memcache რესურსებიდან გამომდინარე, DNS და NTP- ის პასუხების შეტევებით. ამ spoofed თავდასხმების წყაროები იყო ძირითადი OVH პროვაიდერი და დიდი რაოდენობით პატარა ინტერნეტ პროვაიდერები და hosters.

კომპანიის QRATOR LABS- ის ერთ-ერთი აბონენტი - გადახდის სისტემა QIWI ადასტურებს 480 Gbps Band / s UDP ტრაფიკის წარმატებით ნეიტრალიზებულ თავდასხმას მისი რესურსების კომპრომეტირებული MAMCACHACHIERS- ისგან.

"DDO- ების განხორციელების თანამედროვე ტექნიკა ჯერ კიდევ არ დგას. უფრო მეტად, ჩვენ დაფიქსირება ახალი "BROYS" ინფრასტრუქტურაში ინტერნეტის ინფრასტრუქტურაში, რომლებიც წარმატებით იყენებენ თავდამსხმელებს თავდასხმების განხორციელებაში. Memcache- ის გამოყენებით თავდასხმები, რომელთა სიჩქარე რამდენიმე ასეული გბ / წმ-ს მიაღწია, დადასტურდა, - კომენტარს აკეთებს გენერალურ დირექტორს და დამფუძნებელ ქერტატორ ლაბორნს ალექსანდრე ლიამინს. - დაუცველი Memcache რესურსების ინტერნეტში დიდი თანხა, და ჩვენ კატეგორიულად გირჩევთ ტექნიკური სპეციალისტები, რათა სწორი კონფიგურაცია memcache, არ ავიწყდება ნაგულისხმები დანადგარები. ეს ხელს შეუწყობს სერვერზე გაგზავნილი მთლიანი UDP ტრაფიკის მოსმენის თავიდან აცილებას და შეამცირებს DDOS- ის თავდასხმების ალბათობას ".

შესახებ Qrator Labs

Qrator Labs - ნომერ პირველი DDOS- ში რუსეთში (IDC- ის რუსეთის საწინააღმდეგო DDOS Services Market 2016-2020 პროგნოზი და 2015 ანალიზი). კომპანია დაფუძნდა 2009 წელს და უზრუნველყოფს სერვისებს DDOS- ის თავდასხმების წინააღმდეგ WAF- ის (Web Applicer Firewall) გადაწყვეტილებების ორგანიზებით, Wallarm- ის პარტნიორი ტექნოლოგიით ორგანიზებულ გადაწყვეტილებებს. ეფექტურად Counter DDOS თავდასხმების, Qrator Labs იყენებს Qrator.Radar საკუთარი გლობალური მონიტორინგის სამსახურის მონაცემები. QRATOR ფილტრაციის ქსელი აგებულია აშშ-ში, რუსეთში, ევროკავშირსა და აზიაში მდებარე კვანძებზე, რომლებიც, საკუთარი ფილტრაციის ალგორითმებთან ერთად, არის კომპანიის კონკურენტული უპირატესობა.

ეს ორგანიზაცია, ზონაში დომენური სახელების რეგისტრაციის გარდა, თურქეთის უნივერსიტეტებში ძირითადი ბონდისა. ISIL- ის მხარდაჭერით თურქეთის ხელმძღვანელობისთვის ანონიმური ადანაშაულებს.

14 დეკემბრის დილით გამოვლინდა DDO- ების პირველი ნიშნები, შუადღისას, ხუთი NIC.TR სერვერები ჩაბარდა ნაგვის ტრაფიკის ქვეშ 40 გბ / სთ. პრობლემა ასევე დაზარალდა მწიფე საკოორდინაციო ცენტრს, რომელიც უზრუნველყოფს ალტერნატიულ NIC.TR ინფრასტრუქტურას. მწიფეების წარმომადგენლებმა აღნიშნეს, რომ თავდასხმა მოდიფიცირებული იყო მწიფე დაცვის გვერდის ავლით.

ფართომასშტაბიანი DDOS თავდასხმების ყველაზე მეტად ეფექტური გზით სუფთა მუშაობის ვებ სერვისების - ღირებულება თავდასხმების მუდმივად მცირდება, რომელიც საშუალებას გაძლევთ გაზარდოთ ძალა: მხოლოდ ორი წლის განმავლობაში DDOS თავდასხმის საშუალო ძალა გაიზარდა ოთხეული და არის 8 GB / s. საშუალოდ თავდასხმის ღირებულებებთან დაკავშირებით, თურქეთის ეროვნული დომენური ზონა გამოიყურება უმაღლესი, მაგრამ ექსპერტები ხაზს უსვამენ, რომ 400 გბ / ს დონის დონის დონის დარღვევები მალე ხდება ნორმა.

თურქეთის თავდასხმის უნიკალურობა ის არის, რომ თავდამსხმელებმა სწორი მიზანი აირჩია: IP მისამართების შედარებით მცირე რაოდენობის კონცენტრაცია, მათ შეძლეს მთელი ქვეყნის მასშტაბით მხოლოდ 40-იანი წლების ინფრასტრუქტურა.

თურქეთის ეროვნული რეაქციის ცენტრი Cyberincidents- მა დაბლოკა NIC.TR- ის სერვერებზე შესვლის ყველა სატრანსპორტო საშუალება, რის გამოც ყველა 400 ათასი თურქეთის საიტი მიუწვდომელია და ყველა შეტყობინებას ელ ელ დაბრუნდა გამგზავნი. მოგვიანებით, ცენტრმა გადაწყვიტა შეცვალოს ტაქტიკა, საეჭვო IP მისამართების შერჩევითი დაბლოკვის ჩატარება. DNS სერვერების დომენები სფეროში. Tromed უკვე reconfigured მოთხოვნის გავრცელება საჯარო და კერძო სერვერებს შორის, რომელიც დაეხმარა თურქოთი ინტერნეტ პროვაიდერები SuperOnline და Vodafone.

თავდასხმა დომენები დაბრუნდა ონლაინ იმავე დღეს, მაგრამ ბევრი საიტები და ფოსტის მომსახურება რამდენიმე დღე მუშაობდა შეფერხებით. არა მხოლოდ ადგილობრივი კომპანიები და სამთავრობო ორგანიზაციები დაშავდა, არამედ მრავალი ეროვნული ვებ რესურსები, რომლებიც არჩევანს დომენური სახელის ზონაში. საერთო ჯამში დაახლოებით 400 ათასი ვებგვერდი, რომელთა 75% კორპორატიულია. თურქეთის ეროვნული დომენი ასევე გამოიყენებს საგანმანათლებლო დაწესებულებებს, მუნიციპალიტეტებსა და სამხედროებს.

მიუხედავად იმისა, რომ "ანონიმურებმა" არ გააკეთეს განცხადება, ბევრი ვინილის თავდასხმის დროს რუსები - თურქეთსა და რუსეთს შორის დაძაბული ურთიერთობების გამო. ერთ დროს, რუსი ჰაკერები მსგავსი მიზეზების გამო, ეჭვმიტანილია ესტონეთის (2007), საქართველო (2008) და უკრაინაში (2014) ფართომასშტაბიანი კიბერ თავდასხმების ჩართულობის შესახებ. ზოგიერთმა ექსპერტმა თურქეთის DDOS- ის რეაგირება მოახდინა რუსების მიერ თურქეთის Cybergroups- ის DDOS- ის თავდასხმის შესახებ რუსეთის საინფორმაციო საიტის "სატელიტზე".

ანონიმური დეკლარაცია ფონდის "რუსეთის ბილიკის" ჰიპოთეზა ჩამოერთვა. Khakctivists ასევე საფრთხეს უქმნის თურქეთის აეროპორტებს, ბანკებს, სამთავრობო სტრუქტურების სერვერებს, სამხედრო ორგანიზაციების სერვერებს, თუ თურქეთი აღარ შეაჩერებს IGIL- ს დახმარებას.

ბოლო ორი წლის არასტაბილური ეკონომიკური მდგომარეობა ბაზარზე კონკურენტული ბრძოლის დონეზე მნიშვნელოვანი ზრდა გამოიწვია, რის შედეგადაც DDO- ების პოპულარობა გაიზარდა - ეფექტური მეთოდი ეკონომიკური დაზიანების გამოყენება.

2016 წელს DDOS- ის თავდასხმების კომერციული ბრძანებების რაოდენობა რამდენჯერმე გაიზარდა. მასიური DDOS თავდასხმები პოლიტიკურ გავლენას, როგორც ეს იყო, მაგალითად, 2014 წელს, მასიური ბიზნეს სეგმენტში. თავდამსხმელების მთავარი ამოცანაა რაც შეიძლება სწრაფად და მინიმალური ხარჯებით, რათა უზრუნველყოს რესურსი მიუწვდომელია კონკურენტებისგან ფულის მისაღებად, რათა უზრუნველყოს, რომ გამოძალვის პირობები და ა.შ. DDOS თავდასხმები უფრო აქტიურად გამოიყენება, რაც ხელს უწყობს ძიებას სულ უფრო ფართომასშტაბიანი ბიზნეს დაცვის ინსტრუმენტები.

ამავდროულად, თავდასხმების რაოდენობა კვლავაც იზრდება, მიუხედავად იმისა, რომ DDO- ების წინააღმდეგ ბრძოლაში შესამჩნევი წარმატების მიუხედავადც კი. Qrator Labs- ის მონაცემებით, 2015 წელს DDO- ების თავდასხმების ოდენობა 100% -ით გაიზარდა. და გასაკვირი არ არის, რადგან მათი ღირებულება დაახლოებით 5 დოლარამდე შემცირდა და მათი განხორციელების ინსტრუმენტები მასიური შავი ბაზარზე წავიდა. ჩვენ ვფიქრობთ, რომ განაწილებული თავდასხმების რამდენიმე ძირითადი ტენდენცია, რომელიც მიზნად ისახავს უარის თქმის შესახებ, რომლებიც მომდევნო რამდენიმე წლის განმავლობაში განისაზღვრება.

თავდასხმა UDP გაძლიერება

არხის სიმძლავრის ამოწურვისას თავდასხმები მოიცავს UDP გაძლიერებას. ასეთი ინციდენტები 2014 წელს ყველაზე გავრცელებული იყო და 2015 წლის ნათელი ტენდენცია გახდა. თუმცა მათი რიცხვი უკვე მიაღწია პიკს და თანდათანობით მიდის შემცირებაზე - ასეთი თავდასხმების განხორციელების რესურსი არა მხოლოდ საბოლოოა, არამედ მკვეთრად მცირდება.

გამაძლიერებლის ქვეშ იგულისხმება საჯარო UDP სერვისი, რომელიც მუშაობს ავტორიზაციის გარეშე, რომელიც მცირე შეკითხვაზე შეიძლება უფრო დიდი პასუხი გასცეს. თავდასხმაში, გაგზავნის ასეთი მოთხოვნები, შეცვლის მისი IP მისამართი IP მისამართი დაზარალებულის. შედეგად, საპირისპირო ტრაფიკი, თავდამსხმელ არხის გამტარუნარიანობას, დაზარალებულის ვებ-რესურსს გადამისამართება. გამოყენებულია არასწორი მონაწილეობისთვის, DNS, NTP-, SSDP- და სხვა სერვერები.

თავდასხმები ვებ აპლიკაციებზე L7- ზე

გამაძლიერებლების რაოდენობის შემცირების გამო, ბერკეტების წინაშე, L7 დონის გამოყენებისას ვებ აპლიკაციების თავდასხმების ორგანიზება კლასიკური ბოტნეტების გამოყენებით. როგორც მოგეხსენებათ, BotNet- ს შეუძლია განახორციელოს ქსელის თავდასხმები დისტანციური ბრძანებების შესახებ და ინფიცირებული კომპიუტერების მფლობელებს არ აქვთ ეჭვი ამის შესახებ. სერვისის "ნაგვის" გადატვირთვის შედეგად ლეგიტიმური მომხმარებლების გასაჩივრების მოთხოვნით, პასუხი არ არის პასუხი ან რეაგირება მოითხოვს ზედმეტად, ვიდრე დიდი დრო.

დღეს, ბოტნეტები უფრო ინტელექტუალურია. შესაბამისი თავდასხმების ორგანიზებისას, სრული ბრაუზერის დასტის ტექნოლოგია მხარს უჭერს, რომ არის საბაჟო კომპიუტერის სრული emulation, ბრაუზერი, ჯავის სკრიპტი. ასეთი მეთოდები საშუალებას მოგცემთ შესანიშნავად შეინარჩუნოთ თავდასხმები L7. ხელით გამოვყოთ ბოტი მომხმარებლისგან თითქმის შეუძლებელია. ეს მოითხოვს სისტემებს მანქანების სწავლის ტექნოლოგიის გამოყენებით, რომლის წყალობითაც იზრდება მექანიზმები, ხოლო ტესტირების სიზუსტე იზრდება.

BGP პრობლემები

2016 წელს, ახალი ტენდენცია გამოჩნდა - ქსელის ინფრასტრუქტურის თავდასხმები, მათ შორის BGP ხარვეზების გამოყენების საფუძველზე. BGP მარშრუტიზაციის პროტოკოლის პრობლემები, რომელიც ეფუძნება მთელ ინტერნეტს, რამდენიმე წლის განმავლობაში ცნობილია, მაგრამ ბოლო წლებში ისინი უფრო მეტად სერიოზულ უარყოფით შედეგებს იწვევენ.

ქსელური ანომალიები, რომლებიც დაკავშირებულია პირდაპირი დომინირების ქსელში მარშრუტით, შეუძლია გავლენა მოახდინოს დიდი რაოდენობით მასპინძლებს, ქსელებსა და გლობალურ კავშირს და ინტერნეტს. ყველაზე ტიპიური სახის პრობლემებია მარშრუტის გაჟონვა - მარშრუტის "გაჟონვა", რომელიც წარმოიქმნება არასწორი მიმართულებით მისი განცხადების შედეგად. მიუხედავად იმისა, რომ BGP მოწყვლადობა იშვიათად გამოიყენება შეგნებულად: ასეთი თავდასხმის ორგანიზების ღირებულება საკმაოდ მაღალია და ინციდენტები ძირითადად ხდება ქსელის პარამეტრებში ბანალური შეცდომების გამო.

თუმცა, ბოლო წლებში ინტერნეტში ორგანიზებული დანაშაულებრივი ჯგუფების მასშტაბები მნიშვნელოვნად გაიზარდა, ამიტომ Qrator Labs- ის მონაცემებით, BGP პრობლემებთან დაკავშირებული თავდასხმები პოპულარული იქნება უახლოეს მომავალში. ნათელი მაგალითია IP მისამართების "hijack" (hijacking) მიერ ცნობილი Cybergroup Hacking გუნდი, რომელიც განხორციელდა სახელმწიფო წესრიგის მიხედვით: იტალიის პოლიციამ რამდენიმე კომპიუტერი უნდა გააკონტროლოს, რომლის მფლობელთა მიმართ განხორციელებული მფლობელები.

ინციდენტებიTCP.

TCP / IP სისტემის ქსელის დასტა აქვს რამდენიმე პრობლემას, რომელიც უკვე მიმდინარე წელს უკვე მწვავე იქნება. აქტიური სიჩქარის ზრდის შესანარჩუნებლად, ინტერნეტ ინფრასტრუქტურა მუდმივად უნდა განახლდეს. ინტერნეტში ფიზიკური კავშირის სიჩქარე ყოველ რამდენიმე წელიწადში იზრდება. 2000-იანი წლების დასაწყისში. სტანდარტი იყო 1 Gbit / S, დღეს ყველაზე პოპულარული ფიზიკური ინტერფეისი არის 10gbit / s. თუმცა, ფიზიკური ერთობლივი, 100 Gbit / S- ის ახალი სტანდარტის დანერგვა, რომელიც ქმნის პრობლემებს მოძველებული TCP / IP პროტოკოლის პრობლემებს, რომლებიც არ არის განკუთვნილი ასეთი მაღალი სიჩქარით.

მაგალითად, შესაძლებელი გახდება რამდენიმე წუთის განმავლობაში TCP Sequence Number- ის შერჩევა - უნიკალური რიცხვითი იდენტიფიკატორი, რომელიც საშუალებას იძლევა (უფრო სწორად) TCP / IP პარტნიორები, რათა შეასრულონ ურთიერთდამოკიდებულება კავშირის დამონტაჟების დროს მათი წესრიგისა და მთლიანობის შენარჩუნებისას. TCP სერვერის ჟურნალში 100 გბ / ს ხაზის სიჩქარით, ღია კავშირის შესახებ ან / და მონაცემების შესახებ, იგი არ უზრუნველყოფს, რომ ფიქსირებული IP მისამართი მართლაც დამონტაჟდა კავშირი და ამ მონაცემების გადაცემა. შესაბამისად, ის ხსნის ახალი კლასის თავდასხმების ორგანიზების შესაძლებლობას და ხანძარსაწინააღმდეგოების ეფექტურობას მნიშვნელოვნად შეამცირებს.

TCP / IP Vulnerabilities მოზიდვა ყურადღებას ბევრი მკვლევარი. მათ მიაჩნიათ, რომ 2016 წელს მოვისმინოთ ამ "ხვრელების" ექსპლუატაციასთან დაკავშირებული "ხმამაღალი" თავდასხმების შესახებ.

ახლომდებარე მომავალი

დღეს, ტექნოლოგიებისა და საფრთხეების განვითარება არ ხდება "კლასიკურ" სპირალზე, რადგან სისტემა არ არის დახურული - არსებობს ბევრი გარე ფაქტორი. შედეგად, გაფართოების ამპლიტუდის სპირალი მიღებულია - ის იზრდება, თავდასხმის სირთულე იზრდება და ტექნოლოგიის გაშუქება მნიშვნელოვნად გაფართოვდება. ჩვენ აღვნიშნავთ რამდენიმე ფაქტორს, რომლებსაც სერიოზული გავლენა აქვთ სისტემის განვითარებაზე.

ძირითადი მათგანი ნამდვილად - მიგრაცია ახალი IPv6 სატრანსპორტო პროტოკოლისთვის. 2015 წლის ბოლოს, IPv4 პროტოკოლი აღიარებულ იქნა როგორც მოძველებული, და IPv6 მოდის წინ, რომელიც მოაქვს მათ ახალი გამოწვევები: ახლა თითოეული მოწყობილობა აქვს IP მისამართს, და მათ შეუძლიათ ყველა პირდაპირ დაკავშირება ერთმანეთთან. დიახ, ახალი რეკომენდაციები გამოჩნდება, თუ როგორ უნდა მუშაობდეს, მაგრამ როგორც ინდუსტრია ყველაფერს გაუმკლავდება, განსაკუთრებით ტელეკომის ოპერატორებს, მასობრივი პროდუქტის სეგმენტსა და ჩინურ მოვაჭრეებს, ღია შეკითხვაა. IPv6 რადიკალურად შეცვლის თამაშის წესებს.

კიდევ ერთი გამოწვევა არის მობილური ქსელების მნიშვნელოვანი ზრდა, მათი სიჩქარე და "გამძლეობა". იმ შემთხვევაში, თუ მობილური ბოტნეტი ქმნის პრობლემებს, პირველ რიგში, კომუნიკაციის ოპერატორს, ახლა, როდესაც 4G კავშირი უფრო სწრაფია, ვიდრე სადენიანი ინტერნეტი, მობილური ქსელების დიდი რაოდენობით მოწყობილობები, მათ შორის ჩინური წარმოება, გარდაიქმნება შესანიშნავი პლატფორმა DDO- ებისა და ჰაკერების თავდასხმებისთვის. და პრობლემები წარმოიქმნება არა მხოლოდ ტელეკომის ოპერატორზე, არამედ სხვა ბაზრის მონაწილეებთან.

სერიოზული საფრთხე არის ინტერნეტის განვითარებადი სამყარო. ახალი თავდასხმის ვექტორები გამოჩნდებიან, რადგან დიდი რაოდენობით მოწყობილობები და უკაბელო საკომუნიკაციო ტექნოლოგიების გამოყენება ხორციელდება ჰაკერებისათვის ჭეშმარიტად უსაზღვრო პერსპექტივებზე. ინტერნეტთან დაკავშირებული ყველა მოწყობილობა შეიძლება პოტენციურად გახდეს intruders ინფრასტრუქტურის ნაწილი და ჩართული DDOS თავდასხმების დროს.

სამწუხაროდ, ქსელთან დაკავშირებული ყველა სახის საყოფაცხოვრებო ტექნიკის მწარმოებლები (ხეტლები, ტელევიზიები, მანქანები, მრავალფუნქციური ვალუტა, სასწორები, "ჭკვიანი" სოკეტები და ა.შ.) ყოველთვის არ უზრუნველყოფენ მათი დაცვის სათანადო დონეს. ხშირად, პოპულარული ოპერაციული სისტემების ძველი ვერსიები ასეთ მოწყობილობებში გამოიყენება და მოვაჭრეები არ აინტერესებს მათი რეგულარული განახლების შესახებ - ჩანაცვლება ვერსიებზე, სადაც არის მოწყვლადობა. და თუ მოწყობილობა პოპულარულია და ფართოდ გამოიყენება, ჰაკერები არ გამოტოვებენ შესაძლებლობას, გამოიყენონ მისი ხარვეზები.

IOT პრობლემების harbingers გამოჩნდა უკვე 2015 წელს წინასწარი მონაცემებით, ბოლო თავდასხმა Blizzard გასართობი განხორციელდა გამოყენებით IOT კლასის მოწყობილობები. მუქარის კოდი დაფიქსირდა, თანამედროვე ჩაიდანი და ნათურებით. ამოცანა ჰაკერების ამარტივებს chipsets. არც ისე დიდი ხნის წინ, იაფი ჩიპსეტი გაათავისუფლეს, განკუთვნილია სხვადასხვა აღჭურვილობით, რომელსაც შეუძლია "კომუნიკაცია" ინტერნეტით. ამდენად, თავდამსხმელებს არ სჭირდებათ 100 ათასი მორგებული firmware - ეს საკმარისია "შესვენება" ერთი ჩიპსეტი და ხელმისაწვდომობის ყველა მოწყობილობა, რომელიც ეფუძნება მასზე.

იწინასწარმეტყველა, რომ ყველა სმარტფონებისათვის ხანდაზმული android Versionsშედგება მინიმუმ ერთი ბოტნეტისგან. ყველა "ჭკვიანი" სოკეტების, მაცივრები და სხვა ტექნიკა. რამდენიმე წლის შემდეგ, იგი ელოდება botnet of kettles, radionias და multicurok. "ინტერნეტში" მოუტანს არა მხოლოდ კომფორტულ და დამატებით შესაძლებლობებს, არამედ უამრავ პრობლემას. როდესაც რამ IOT- ს ექნება ბევრი და თითოეული PIN შეძლებს 10 ბატის გაგზავნას, ახალი უსაფრთხოების გამოწვევები მოგვარდება. და ეს უნდა მომზადდეს დღეს.

შესავალი

დაუყოვნებლივ გააკეთეთ დაჯავშნა, რომ როდესაც მე დავწერე ეს მიმოხილვა, მე პირველად ორიენტირებული აუდიტორიის, დემონტაჟის სპეციფიკაში სატელეკომუნიკაციო ოპერატორების და მათი მონაცემთა გადამცემი ქსელების. ეს სტატია ასახავს DDOS- ის თავდასხმებისგან დაცვის ძირითად პრინციპებს, ბოლო ათწლეულში მათი განვითარების ისტორიას და ამჟამად სიტუაციაა.

რა არის DDOs?

სავარაუდოდ, რა არის DDOS თავდასხმა, დღეს იცის, თუ არა ყველა "მომხმარებელი", მაშინ ნებისმიერ შემთხვევაში - ყველა "ეს". მაგრამ რამდენიმე სიტყვა უნდა ითქვას.

DDOS თავდასხმები (განაწილებული მომსახურების უარყოფა - სადისტრიბუციო Clock Clock Clocks - ეს არის კომპიუტერული სისტემების (ქსელის რესურსების ან საკომუნიკაციო არხების) თავდასხმები, რომელიც მიზნად ისახავს ლეგიტიმური მომხმარებლებისთვის მიუწვდომელი. DDOS თავდასხმების ერთდროულად გაგზავნილი გარკვეული რესურსი დიდი რაოდენობით მოთხოვნის ერთი ან ბევრი კომპიუტერი მდებარეობს ინტერნეტში. იმ შემთხვევაში, თუ ათასობით, ათობით ათასი ან მილიონი კომპიუტერი ერთდროულად იწყებს მოთხოვნებს კონკრეტულ სერვერზე (ან ქსელური სერვისის) მოთხოვნის გაგზავნას, ეს არ იქნება სერვერზე, ან არ აქვს საკმარისი საკომუნიკაციო არხი ამ სერვერზე. ორივე შემთხვევაში, ინტერნეტ მომხმარებლებს ვერ შეძლებენ სერვერზე თავდასხმას სერვერზე, ან თუნდაც ყველა სერვერზე და დაბლოკილი საკომუნიკაციო არხის მეშვეობით.

DDOS თავდასხმების ზოგიერთი თვისება

ვინმეს წინააღმდეგ და რა მიზნით არის DDOS თავდასხმების დაწყება?

DDOS თავდასხმები შეიძლება აწარმოებს ინტერნეტში წარმოდგენილი ნებისმიერი რესურსის წინააღმდეგ. DDOS- ის თავდასხმების უდიდესი დაზიანება მიიღებს ორგანიზაციებს, რომელთა ბიზნესი პირდაპირ უკავშირდება ინტერნეტ ბანკებს (ინტერნეტ ბანკინგის მომსახურების მიწოდებას), ონლაინ შოპინგი, სავაჭრო ნიადაგები, აუქციონები, ისევე, როგორც სხვა საქმიანობა, საქმიანობა და ეფექტურობა, რომელიც მნიშვნელოვნად დამოკიდებულია ინტერნეტში წარმოდგენილ წარმომადგენლობაზე (მოგზაურობა Airstrms, Airlstrams, Airlines, აპარატების მწარმოებლები და პროგრამული უზრუნველყოფა და ა.შ.) DDOS თავდასხმები რეგულარულად იწყება ასეთი გიგანტების რესურსების წინააღმდეგ მსოფლიო IT ინდუსტრია, როგორიცაა IBM, Cisco Systems, Microsoft და სხვა. მასიური DDOS თავდასხმების წინააღმდეგ eBay.com, Amazon.com, ბევრი ცნობილი ბანკები და ორგანიზაციები დაფიქსირდა.

ძალიან ხშირად, DDOS თავდასხმები დაიწყება პოლიტიკური ორგანიზაციების, ინსტიტუტების ან ინდივიდუალური პიროვნების ვებ-წარმომადგენლების წინააღმდეგ. 2008 წლის ქართულ-ოსური ომის დროს საქართველოს პრეზიდენტის ვებ-გვერდის წინააღმდეგ განხორციელებული მასიური და გრძელვადიანი DDO- ების თავდასხმების შესახებ ბევრი ადამიანი იცნობს (ვებ-გვერდი 2008 წლის აგვისტოდან რამდენიმე თვის განმავლობაში მიუწვდომელი იყო), ესტონეთის მთავრობის სერვერების წინააღმდეგ (გაზაფხულზე 2007 წელს, ბრინჯაოს ჯარისკაცის გადაცემასთან დაკავშირებული არეულობების დროს), ჩრდილოეთ კორეის ქსელის სეგმენტის პერიოდული თავდასხმების შესახებ ამერიკული საიტების წინააღმდეგ.

DDOS- ის თავდასხმის ძირითადი ამოცანებია შანტაჟისა და გამოძალვის სარგებელი (პირდაპირი ან არაპირდაპირი), ან პოლიტიკური ინტერესების დევნა, სიტუაციის გამონადენი, შურისძიება.

რა არის დაწყების მექანიზმები ddos- თავდასხმები?

DDOS- ის თავდასხმის ყველაზე პოპულარული და საშიში გზა არის ბოტნეტების გამოყენება (ბოტნეტები). Botnet არის ბევრი კომპიუტერი, რომელზეც სპეციალური პროგრამული სანიშნეები (ბოტები) დამონტაჟებულია, თარგმნილია ინგლისურ ბოტნეტებში, არის ბოტების ქსელი. ბოტები, როგორც წესი, განკუთვნილია ჰაკერების მიერ ინდივიდუალურად თითოეული botnet- ისთვის და აქვს კონკრეტული ინტერნეტ რესურსების გაგზავნის ძირითადი მიზანი Botnet Management Server- ის მიერ მიღებული ბრძანების შესახებ. Botnet კონტროლერი მართავს ჰაკერს, ან იმ ადამიანს, რომელმაც შეიძინა ეს ბოტი ჰაკერიდან და DDOS- ის თავდასხმის შესაძლებლობას. ბოტები ვრცელდება ინტერნეტში სხვადასხვა გზით, როგორც წესი - კომპიუტერების თავდასხმებით, რომლებიც სოციალურად დაუცველ სერვისებსა და პროგრამული სანიშნეების დამონტაჟებას ან მომხმარებლების მიერ დაყრდნობით და იძულებით გადაადგილებას სხვა სერვისების ან პროგრამული უზრუნველყოფის შესაქმნელად, საკმაოდ უვნებელი ან თუნდაც სასარგებლო ფუნქცია. ბოტების გავრცელების მეთოდები ბევრია, ახალი გზები რეგულარულად გამოიგონეს.

თუ botnet არის დიდი საკმარისი - ათეულობით ან ასობით ათასი კომპიუტერი - მაშინ ერთდროულად გაგზავნის ყველა ამ კომპიუტერები კი საკმაოდ ლეგიტიმური მოთხოვნებს გარკვეულ ქსელთა მომსახურების მიმართულებით (მაგალითად, ვებ სერვისი კონკრეტულ ადგილზე) გამოიწვევს ამოწურვას რესურსების ან სერვისის ან სერვერის, ან ამოწურვის არხის შესაძლებლობები. ნებისმიერ შემთხვევაში, სერვისი მომხმარებლებისთვის მიუწვდომელი იქნება და სამსახურის მფლობელი იქნება პირდაპირი, არაპირდაპირი და რეპუტაციური დანაკარგების წარმოება. და თუ თითოეული კომპიუტერი აგზავნის არა ერთს, ათეულობით, ასობით ან ათასობით მოთხოვნას წამში, მაშინ ზემოქმედების ძალების თავდასხმა ბევრჯერ იზრდება, რაც საშუალებას იძლევა, რაც ყველაზე პროდუქტიულ რესურსებს ან საკომუნიკაციო არხებს.

ზოგიერთი თავდასხმა იწყება უფრო "უვნებელი" გზებით. მაგალითად, გარკვეული ფორუმების მომხმარებლების Flash მობ, რომელიც ხელშეკრულების დაწყებას გარკვეული დროით "Ping" ან სხვა მოთხოვნებს მათი კომპიუტერები კონკრეტული სერვერის მიმართ. კიდევ ერთი მაგალითია ვებ-გვერდის ბმულების განთავსება პოპულარული ინტერნეტ რესურსებზე, რომელიც იწვევს მომხმარებლის შემოდინებას სამიზნე სერვერზე. თუ "ყალბი" ბმული (გარედან ჰგავს ბმულს ერთ რესურსს, და რეალურად ეხება სრულიად განსხვავებული სერვერს) ეხება მცირე ორგანიზაციის ვებ-გვერდს, მაგრამ პოპულარული სერვერების ან ფორუმების გამოქვეყნდება, ასეთი თავდასხმა შეიძლება გამოიწვიოს არასასურველი საიტის შემოდინება ამ საიტის სტუმრები.. ბოლო ორი ტიპის თავდასხმები იშვიათად იწვევს სერვერების ხელმისაწვდომობის შეწყვეტას სათანადოდ ორგანიზებული ჰოსტინგის საიტებზე, მაგრამ ასეთი მაგალითები იყო და 2009 წელს რუსეთშიც კი.

DDOS- ის თავდასხმებისგან დაცვის ტრადიციული ტექნიკური საშუალებები დაეხმარება?

DDO- ების ფუნქცია ის არის, რომ ისინი შედგება მრავალფეროვანი ერთდროული მოთხოვნებისგან, რომელთაგან თითოეული ინდივიდუალურად "ადვილად", უფრო მეტიც, ამ შეკითხვებს კომპიუტერებს (ინფიცირებულებთან ინფიცირებული), რაც შეიძლება საკმაოდ გავრცელდეს ყველაზე გავრცელებული რეალური ან პოტენციური მომხმარებლები თავდასხმის სამსახურის ან რესურსი. აქედან გამომდინარე, ძალიან რთულია იდენტიფიცირება, რომ DDOS თავდასხმა სწორად არის განსაზღვრული და ფილტრი. სტანდარტული სისტემები IDS / IPS CLASS (Intrusion Detection / Prevention System - ქსელის თავდასხმის სისტემა / პრევენციის სისტემა) ვერ პოულობენ "დანაშაულის შემადგენლობის" ამ შეკითხვებს, არ მესმის, რომ ისინი თავდასხმის ნაწილია, თუ ისინი არ ასრულებენ მოძრაობის ხარისხობრივ ანალიზს ანომალიები. და მაშინაც კი, თუ ისინი აღმოაჩენენ, მაშინ არასაჭირო მოთხოვნები ასევე არ არის ასე მარტივი - სტანდარტული ეკრანები და მარშრუტიზატორები ფილტრაციის მოძრაობა საფუძველზე კარგად განსაზღვრული წვდომის სიები (კონტროლის წესები), და არ იცის, თუ როგორ უნდა "დინამიურად" ადაპტირება პროფილი კონკრეტული თავდასხმა. Firewalls- ს შეუძლია შეცვალოს სატრანსპორტო ნაკადები კრიტერიუმების საფუძველზე, როგორიცაა გამგზავნის მისამართები. ქსელური მომსახურება, პორტები და ოქმები. მაგრამ რეგულარული ინტერნეტ მომხმარებლები მონაწილეობას მიიღებენ DDOS- ის თავდასხმაში, რომლებიც გაგზავნიან მოთხოვნებს ყველაზე გავრცელებულ პროტოკოლებში - არ იქნება იგივე საკომუნიკაციო ოპერატორი, რომ ყველაფერი და ყველაფერი აკრძალოს? შემდეგ ის უბრალოდ შეაჩერებს კომუნიკაციის მომსახურებას მის აბონენტებს და შეაჩერებს მათ მიერ ქსელის რესურსების ხელმისაწვდომობას, რაც, ფაქტობრივად, აღწევს თავდასხმის ინიციატორს.

ბევრი სპეციალისტი, ალბათ, იცის სპეციალური გადაწყვეტილებების არსებობის შესახებ DDOS- ის თავდასხმებისგან დაცული სპეციალური გადაწყვეტილებების არსებობა, რომლებიც აღმოჩენილია ტრაფიკის ანომალიების მიერ, საგზაო პროფილისა და თავდასხმის პროფილის შემდგომი და დინამიური მრავალფუნქციური მოძრაობის ფილტრაციის შემდგომი პროცესი. მე ასევე ვისაუბრებ ამ გადაწყვეტილებებს ამ სტატიაში, მაგრამ გარკვეულწილად მოგვიანებით. და პირველი იქნება აღწერილი რამდენიმე ნაკლებად ცნობილი, მაგრამ ზოგჯერ საკმაოდ ეფექტური ღონისძიებები, რომლებიც შეიძლება მიღებულ იქნეს DDOS თავდასხმების აღსაკვეთად მონაცემთა ქსელთან და მის ადმინისტრატორებთან.

დაცვა DDOS თავდასხმების ხელმისაწვდომი საშუალებით

არსებობს რამდენიმე მექანიზმები და "tricks", რომელიც საშუალებას აძლევს გარკვეულ შემთხვევებში DDOS თავდასხმების აღსაკვეთად. ზოგიერთი შეიძლება გამოყენებულ იქნას მხოლოდ იმ შემთხვევაში, თუ მონაცემთა ქსელი აშენებულია კონკრეტული მწარმოებლის აღჭურვილობაზე, მეტ-ნაკლებად უნივერსალური.

დავიწყოთ Cisco სისტემების რეკომენდაციები. ამ კომპანიის სპეციალისტები რეკომენდაციას უწევს ქსელის ფონდის დაცვის დაცვის ქსელის ფონდის დაცვას, რომელიც მოიცავს ქსელის ადმინისტრაციის დონის დაცვას (კონტროლის თვითმფრინავს), ქსელის მართვის დონის (მენეჯმენტის თვითმფრინავი) და ქსელის მონაცემთა დონე (მონაცემთა თვითმფრინავი).

მართვის თვითმფრინავი დაცვა (მართვის თვითმფრინავი)

ტერმინი "ადმინისტრაციის დონე" მოიცავს ყველა ტრაფიკს, რომელიც უზრუნველყოფს კონტროლს ან მონიტორინგს მარშრუტებსა და სხვა ქსელურ აღჭურვილობას. ეს ტრაფიკი იგზავნება როუტერის მიმართ, ან როუტერისგან მოდის. ასეთი ტრაფიკის მაგალითებია Telnet, SSH და HTTP (s) სესიები, Syslog შეტყობინებები, SNMP-Lads. საერთო საუკეთესო პრაქტიკა მოიცავს:

მაქსიმალური უსაფრთხოებისა და მონიტორინგის პროტოკოლების უსაფრთხოების უზრუნველყოფა, დაშიფვრის და ავთენტიფიკაციის გამოყენება:

  • sNMP V3 პროტოკოლი უზრუნველყოფს დაცვის ინსტრუმენტებს, ხოლო SNMP V1 პრაქტიკულად არ ითვალისწინებს, და SNMP V2 მხოლოდ ნაწილობრივ უზრუნველყოფს - ნაგულისხმევი საზოგადოების ღირებულება ყოველთვის უნდა შეიცვალოს;
  • უნდა იქნას გამოყენებული საჯარო და კერძო საზოგადოების სხვადასხვა ღირებულებები;
  • telnet პროტოკოლი ყველა მონაცემს გადასცემს ყველა მონაცემს, მათ შორის მომხმარებლის სახელს და პაროლს, ღია ფორმით (თუ საგზაო მოძრაობის შეფარდება, ეს ინფორმაცია ადვილად შეიძლება მოიპოვოს და გამოიყენოს), რეკომენდირებულია SSH V2 პროტოკოლის ნაცვლად;
  • ანალოგიურად, HTTP- ის ნაცვლად, გამოიყენეთ HTTPS- ის წვდომის მოწყობილობა; მკაცრი აპარატის წვდომის კონტროლი, მათ შორის ადეკვატური პაროლი, ცენტრალიზებული ავტორიზაცია, ავტორიზაცია და ანგარიში (AAA მოდელი) და ადგილობრივი ავთენტიფიკაცია რეზერვის მიზნებისათვის;

წვდომის როლური მოდელის განხორციელება;

დაშვებული კავშირების კონტროლი წყაროს მისამართზე დაშვების კონტროლის სიების გამოყენებით;

გამოუყენებელი სერვისების გამორთვა, რომელთაგან ბევრი ჩართულია ნაგულისხმევი (ან მათ დაავიწყდათ სისტემის დიაგნოსტიკის ან შექმნის შემდეგ);

აღჭურვილობის რესურსების გამოყენების მონიტორინგი.

ბოლო ორი ქულა ღირს უფრო დეტალურად.
ზოგიერთი სერვისი, რომელიც ჩართულია ნაგულისხმევი ან რომელიც დაავიწყდა გამორთვა მას შემდეგ, რაც შექმნის შემდეგ ან დიაგნოსტიკა აღჭურვილობა შეიძლება გამოყენებულ იქნას intruders გვერდის ავლით არსებული უსაფრთხოების წესები. ქვემოთ მოცემული სერვისების ჩამონათვალი:

  • Pad (Packet Assembler / Disassembler);

ბუნებრივია, ამ სერვისების გამორთვამდე, თქვენ უნდა გაეცნოთ თქვენი ქსელის არარსებობის არარსებობას.

სასურველია აღჭურვილობის რესურსების გამოყენების მონიტორინგი. ეს საშუალებას მისცემს, პირველ რიგში, შეამჩნია გადატვირთვისას ინდივიდუალური ელემენტები ქსელები და მიიღონ ზომები უბედური შემთხვევების თავიდან ასაცილებლად და მეორე, გამოავლინონ DDOS თავდასხმები და ანომალიები, თუ მათი გამოვლენა არ არის გათვალისწინებული სპეციალური საშუალებებით. მინიმუმ, რეკომენდირებულია მონიტორინგი:

  • პროცესორი დატვირთვა
  • მეხსიერების გამოყენება
  • მარშრუტების ინტერფეისების ატვირთვა.

მონიტორინგი შეიძლება იყოს "ხელით" (პერიოდულად თვალყურის დევნება აღჭურვილობა), მაგრამ უმჯობესია, უკეთესად გააკეთოს სპეციალური ქსელის მონიტორინგის სისტემები ან მონიტორინგი ინფორმაციის დაცვა (ეს უკანასკნელი ეხება Cisco Mars).

კონტროლის თვითმფრინავი (კონტროლის თვითმფრინავი)

ქსელის მართვის დონე მოიცავს ყველა მომსახურების მოძრაობას, რომელიც უზრუნველყოფს ქსელის ფუნქციონირებას და დაკავშირებადობას მითითებულ ტოპოლოგიასა და პარამეტრების შესაბამისად. მოძრაობის საკონტროლო მოძრაობის მაგალითებია: ყველა საგზაო გენერირება ან განკუთვნილი მარშრუტიზაციის პროცესორი (მარშრუტი პროცესორი - RR), მათ შორის ყველა მარშრუტიზაციის ოქმები, ზოგიერთ შემთხვევაში - sSH პროტოკოლები და SNMP, ისევე როგორც ICMP. ნებისმიერი თავდასხმა მარშრუტიზაციის პროცესორების ფუნქციონირებაზე და განსაკუთრებით DDOS- ის თავდასხმებზე, შეიძლება გამოიწვიოს მნიშვნელოვანი პრობლემები და შეფერხებები ქსელის ფუნქციონირებაში. ქვემოთ აღწერილია საუკეთესო პრაქტიკის დაცვა კონტროლის დონე.

კონტროლის თვითმფრინავი პოლიცია.

QoS- ის მექანიზმების გამოყენება (მომსახურების ხარისხი - მომსახურების ხარისხი), რათა უზრუნველყოს მაღალი პრიორიტეტი კონტროლის დონის კონტროლის დონე, ვიდრე მომხმარებლის ტრაფიკი (რომელთა ნაწილი თავდასხმებია). ეს უზრუნველყოფს მომსახურების ოქმებისა და მარშრუტის პროცესორების მუშაობას, რაც, ქსელის ტოპოლოგიისა და კავშირის შენარჩუნებას, ასევე პაკეტების სათანადო მარშრუტებსა და გადართვას.

IP მიიღოს ACL

ეს ფუნქცია საშუალებას იძლევა როუტერისა და მარშრუტის პროცესორებისთვის განკუთვნილი მომსახურების მიმოსვლის ფილტრაცია და კონტროლი.

  • იგი უკვე გამოიყენება პირდაპირ მარშრუტიზაციის ტექნიკით, სანამ მოძრაობა აღწევს მარშრუტიზაციის პროცესორს, რომელიც უზრუნველყოფს "პერსონალური" ტექნიკის დაცვას;
  • მიმართა მას შემდეგ, რაც მოძრაობის შემდეგ ჩვეულებრივი დაშვების კონტროლის სიები - არის მარშრუტიზაციის პროცესორების გზაზე დაცვის ბოლო დონე;
  • ვრცელდება ყველა საგზაო (შიდა და გარე და ტრანზიტი ქსელის ოპერატორის ქსელში).

ინფრასტრუქტურა ACL

როგორც წესი, საკუთარი როუტერის აღჭურვილობის მისამართების ხელმისაწვდომობა საჭიროა მხოლოდ საკუთარი ქსელის ოპერატორის ქსელის მასპინძლებისთვის, თუმცა არსებობს გამონაკლისები (მაგალითად, EBGP, GRE, IPv6 მეტი IPv4 და ICMP გვირაბები). ინფრასტრუქტურის კონტროლის სიები:

  • როგორც წესი, დამონტაჟებულია ქსელის ოპერატორის ქსელის საზღვარზე ("ქსელში შესასვლელთან");
  • მიზნად ისახავს ოპერატორის ინფრასტრუქტურის მისამართით გარე მასპინძლების ხელმისაწვდომობის თავიდან აცილებას;
  • ოპერატორის ქსელის საზღვარზე შეუფერხებელი სატრანზიტო მოძრაობის უზრუნველყოფა;
  • უზრუნველყოს არასანქცირებული ქსელის აქტივობის ძირითადი დაცვის მექანიზმები, რომელიც აღწერილია RFC 1918, RFC 3330, კერძოდ, spoofing დაცვა (spoofing, გამოყენებით ყალბი წყარო IP მისამართები შენიღბვას, როდესაც თქვენ დაიწყოს თავდასხმა).

მეზობელი ავთენტიფიკაცია.

მეზობელი მარშრუტების ავთენტიფიკაციის მთავარი მიზანი არის, რომ თავიდან იქნას აცილებული ყალბი მარშრუტიზაციის პროტოკოლების მითითება ქსელში მარშრუტის შეცვლისთვის. ასეთი თავდასხმები შეიძლება გამოიწვიოს არასანქცირებული შეღწევადობის ქსელში, არასანქცირებული გამოყენება. ქსელის რესურსები, ისევე, როგორც ის ფაქტი, რომ თავდამსხმელი გადალახავს მოძრაობას, რათა გაეცნოს საჭირო ინფორმაციის ანალიზს.

შექმნის BGP.

  • bGP Prefix ფილტრაციის (BGP პრეფიქსის ფილტრები) - გამოყენებული, რომ ინფორმაცია კომუნიკაციის ოპერატორის შიდა ქსელის შესახებ ინტერნეტში არ არის გავრცელება (ზოგჯერ ეს ინფორმაცია შეიძლება ძალიან სასარგებლო იყოს თავდამსხმელზე);
  • პრეფიქსების რიცხვის შეზღუდვა, რომელიც შეიძლება მიღებულ იქნეს სხვა როუტერისგან (პრეფიქსის შეზღუდვა) - გამოიყენება DDOS- ის თავდასხმების, ანომალიებისა და წარუმატებლობის წინააღმდეგ, Pyring Partner Networks- ში;
  • bGP Community პარამეტრების გამოყენება და მათზე ფილტრაციის გამოყენება ასევე შეიძლება გამოყენებულ იქნას მარშრუტის ინფორმაციის გავრცელების შეზღუდვისთვის;
  • bGP- ის BGP- ის მონიტორინგი და BGP მონაცემების შედარება დაფიქსირდა DDOS თავდასხმებისა და ანომალიების ადრეული გამოვლენის ერთ-ერთი მექანიზმი;
  • ფილტრაციის პარამეტრი TTL (დრო- to-live) - გამოიყენება BGP პარტნიორების შესამოწმებლად.

თუ BGP პროტოკოლის თავდასხმა დაიწყო მეკობრე პარტნიორ ქსელში, მაგრამ უფრო მეტი დისტანციური ქსელიდან, BGP პაკეტების TTL პარამეტრი 255-ზე ნაკლებია. თქვენ შეგიძლიათ დააკონფიგურიროთ სატელეკომუნიკაციო ოპერატორის საზღვარი, რათა მათ გააუქმონ ყველა BGP პაკეტები TTL ღირებულებით.< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

მონაცემთა დონის დაცვა (მონაცემთა თვითმფრინავი)

ადმინისტრაციისა და კონტროლის დონის დაცვის მნიშვნელობის მიუხედავად, ქსელის ოპერატორის ქსელში მოძრაობის უმრავლესობა არის მონაცემები, ტრანზიტი ან გამოვლენილი ამ ოპერატორის აბონენტებისთვის.

Unicast საპირისპირო გზა გადამისამართება (URPF)

ხშირად, თავდასხმები იწყება spoofing ტექნოლოგიების გამოყენებით (spoofing) - წყარო IP მისამართები გაყალბებულია ისე, რომ თავდასხმის წყარო შეუძლებელია. გაყალბებული IP მისამართები შეიძლება იყოს:

  • რეალურად გამოყენებული მისამართების სივრცე, მაგრამ სხვა ქსელში სეგმენტში (სეგმენტში, სადაც თავდასხმა მოხდა, ეს ყალბი მისამართები არ არის მარშრუტიზაცია);
  • ამ ქსელში გამოუყენებელი მისამართზე;
  • მისამართზე სივრცე, რომელიც არ არის გამორთული ინტერნეტში.

URPF მექანიზმის მარშრუტების განხორციელება ხელს უშლის პაკეტის მარშრუტიზაციას წყაროს მისამართებით, რომლებიც შეუთავსებელი ან გამოუყენებელია ქსელის სეგმენტში, საიდანაც ისინი როუტერის ინტერფეისს შევიდნენ. ეს ტექნოლოგია ზოგჯერ ეფექტურად ეფექტურად ფილტრის არასასურველ მოძრაობას უახლოვდება მის წყაროსთან, რაც ყველაზე ეფექტურია. ბევრი DDOS თავდასხმები (მათ შორის ცნობილი Smurf და Tribal Flood Network) გამოიყენოთ გაყვანილობა მექანიზმი და მუდმივი ცვლილება წყაროს მისამართები მოტყუება სტანდარტული საშუალებები დაცვა და ფილტრაცია.

სატელეკომუნიკაციო ოპერატორების მიერ URPF- ის მექანიზმის გამოყენებით ინტერნეტში ხელმისაწვდომობის უზრუნველყოფა ეფექტურად ხელს უშლის DDOS- ის თავდასხმებს ინტერნეტის რესურსების წინააღმდეგ საკუთარი აბონენტებით. ამდენად, DDOS თავდასხმა აღკვეთილი უახლოვდება მის წყაროს, რაც ყველაზე ეფექტურად.

Remotenet გამოიწვია blackholes (rtbh)

Remotenet გამოიწვია blackholes გამოიყენება "ვარდნა" (განადგურება, გაგზავნის "Nonope") Traffic შესვლის ქსელში ამ ტრაფიკის სპეციალური NULL 0 ინტერფეისები. ეს ტექნოლოგია რეკომენდირებულია გამოყენებულ იქნას ქსელური საზღვარზე DDOS- ის საგზაო თავდასხმის აღსადგენად ქსელში შევიდა. ამ მეთოდის შეზღუდვა (და არსებითი) არის ის, რომ იგი გამოიყენება ყველა სატრანსპორტო საშუალებებით, რომელიც განკუთვნილია გარკვეული მასპინძლის ან მასპინძლებისთვის, რაც თავდასხმის მიზანს წარმოადგენს. ამდენად, ეს მეთოდი შეიძლება გამოყენებულ იქნას იმ შემთხვევებში, როდესაც მასიური შეტევა ექვემდებარება ერთ ან მეტ მასპინძელს, რაც პრობლემებს იწვევს არა მხოლოდ თავს დაესხნენ მასპინძლებს, არამედ სხვა აბონენტებსა და ქსელის ოპერატორთა ქსელებს.

შავი ხვრელები შეიძლება კონტროლირებად ორივე ხელით და BGP პროტოკოლის მეშვეობით.

QoS პოლიტიკის პროპაგანდა BGP- ის მეშვეობით (QPPB)

QoS კონტროლი BGP- ის მეშვეობით (QPPB) არის კონკრეტული ავტონომიური სისტემის ან ბლოკის IP მისამართების განკუთვნილი მოძრაობის პრიორიტეტული პოლიტიკის მართვა. ეს მექანიზმი შეიძლება ძალიან სასარგებლო იყოს სატელეკომუნიკაციო ოპერატორებისა და მსხვილი საწარმოებისთვის, მათ შორის DDOS- ის თავდასხმის არასასურველ ტრაფიკის ან სატრანსპორტო საშუალებების პრიორიტეტულ დონეზე.

ჩაიძიროს ხვრელები.

ზოგიერთ შემთხვევაში, არ არის საჭირო შავი ხვრელების გამოყენებით ტრაფიკის მთლიანად წაშლა, მაგრამ ძირითადი არხების ან რესურსების შემდგომი მონიტორინგისა და ანალიზისათვის. ეს არის "არხების არხების" ან ჩაიძიროს ხვრელები.

რადიატორის ხვრელები ყველაზე ხშირად გამოიყენება შემდეგ შემთხვევებში:

  • დანიშნულების ადგილის მისამართების გვერდით და ანალიზის მიზნით, რომელიც ეკუთვნის ქსელის ოპერატორის ქსელის მისამართებს, მაგრამ ამავე დროს არ გამოიყენება (არც აღჭურვილობა ან მომხმარებლები არ იყენებდნენ); ასეთი ტრაფიკი არის საეჭვო საეჭვო, რადგან ხშირად ადასტურებს თქვენი ქსელის სკანირების ან შეღწევის მცდელობას, რომელსაც არ აქვს დეტალური ინფორმაცია მის სტრუქტურაზე;
  • მოძრაობის გადამისამართება თავდასხმის მიზნით, რომელიც რეალურად ფუნქციონირებს რესურსების ოპერატორის ქსელში, მისი მონიტორინგისა და ანალიზისათვის.

DDOS დაცვა სპეციალური საშუალებების გამოყენებით

Cisco Clean Pipes Concept - მრეწველობა სპორტი

DDOS- ისგან დაცვის თანამედროვე კონცეფცია განვითარდა (დიახ, დიახ, თქვენ არ გაკვირვებული! :)) Cisco Systems Company. Cisco- ის მიერ შემუშავებული კონცეფცია Cisco Clean Pipes ("გაწმენდილი არხები"). თითქმის 10 წლის წინ, კონცეფციაში, სატრანსპორტო პათოლოგიური დარღვევებისგან დაცვის ძირითადი პრინციპები და ტექნოლოგია, რომელთა უმრავლესობაც გამოიყენება, მათ შორის სხვა მწარმოებლებს, დეტალურად აღწერენ.

Cisco Clean Pipes Concept ვარაუდობს შემდეგი DDOS თავდასხმების გამოვლენა და ჩახშობის პრინციპები.

არჩეული ქულები (ქსელური საიტები), საგზაო მოძრაობა, რომელიც გაანალიზებულია ანომალიების იდენტიფიკაციისთვის. იმის გათვალისწინებით, რომ ჩვენ ვიცავთ იმ წერტილებს, რომლებიც შეიძლება იყოს საკომუნიკაციო ოპერატორების საკომუნიკაციო ოპერატორებთან დაკავშირებული საკომუნიკაციო ოპერატორების, ქვედა განცხადებების ან აბონენტების კავშირი, ქსელის მონაცემთა ცენტრების დამაკავშირებელი არხები.

სპეციალური დეტექტორები ამ პუნქტებში ტრაფიკის ანალიზს აანაზღაურებენ (შესწავლა) ტრანსპორტის პროფილი მის ნორმალურ მდგომარეობაში, როდესაც DDOS თავდასხმა ან ანომალია გამოჩნდება - გამოავლინებს მას, სწავლობს და დინამიურად ქმნის თავის მახასიათებლებს. გარდა ამისა, ინფორმაცია გაანალიზებულია სისტემის ოპერატორის მიერ და ნახევრად ავტომატური ან ავტომატური რეჟიმში, თავდასხმის აღკვეთის პროცესი დაიწყო. აღკვეთა არის ის, რომ "დაზარალებულისთვის" განკუთვნილი მოძრაობა დინამიურად გადამისამართება ფილტრაციის საშუალებით, რომელზეც დეტექტორების მიერ ჩამოყალიბებული ფილტრები და ამ თავდასხმის ინდივიდუალური ხასიათის ასახულია. გაწმენდილი ტრაფიკი შევიდა ქსელში და გაგზავნილი მიმღები (რადგან სუფთა მილები წარმოშობს - აბონენტი იღებს "სუფთა არხს", რომელიც არ შეიცავს თავდასხმას).

ამდენად, მთელი DDOS თავდასხმის დაცვის ციკლი მოიცავს შემდეგ ძირითად ეტაპებს:

  • ტრაფიკის ტრენინგის კონტროლის მახასიათებლები (პროფილირება, საბაზისო სწავლება)
  • გამოვლენის გამოვლენა და ანომალიები (გამოვლენა)
  • სადისტრიბუციო გადამისამართება გავლით დასუფთავების მოწყობილობაზე (დივერსია)
  • საგზაო ფილტრაცია აღსაკვეთად თავდასხმების (შემარბილებელი)
  • შეიტანეთ მოძრაობა ქსელში და გაგზავნის ადრესატს (ინექცია).

N არსებითი თვისებები.
ორი ტიპის მოწყობილობა შეიძლება გამოყენებულ იქნას როგორც დეტექტორები:

  • Cisco Systems Production Detectors - Cisco Traffic Anomaly Detector Services მოდული სამსახურის მოდულები განკუთვნილია ინსტალაციის Cisco 6500/7600 შასი.
  • Arbor Networks Production Detectors - Arbor Peakflow SP CP მოწყობილობები.

ქვემოთ არის Cisco და Arbor Detectors- ის მაგიდა.

Პარამეტრი

Cisco Traffic Anomaly Detector

Arbor peakflow sp cp

ანალიზისთვის საგზაო ინფორმაციის მიღება

Cisco 6500/7600 შასის შესახებ გამოყოფილი საგზაო მოძრაობის ასლი

მარშრუტიდან მიღებული მიმოსვლის შესახებ ნედლეული მონაცემები ნებადართულია ნიმუშის შეცვლას (1: 1, 1: 1 000, 1: 10,000 და ა.შ.)

გამოვლენის პრინციპები

განგაშის ანალიზი (ბოროტად გამოყენების გამოვლენა) და ანომალიების გამოვლენა (დინამიურიპროფილირება)

ანომალიების გამოვლენა; ანტირებული ანალიზი გამოიყენება, მაგრამ ხელმოწერებია ზოგადი

ფორმა ფაქტორი

სერვისის მოდულები შასის Cisco 6500/7600

ცალკეული მოწყობილობები (სერვერები)

Შესრულება

ტესტის ტრაფიკი 2 Gbps- მდე

პრაქტიკულად შეუზღუდავი (შეგიძლიათ შეამციროთ შერჩევის კურსი)

მასშტაბირება

დაყენების მდე 4 მოდულებიCisco.დეტექტორისმ. ერთი შასი (თუმცა, მოდულები დამოუკიდებლად მოქმედებს ერთმანეთისგან)

ერთი ანალიზის სისტემაში მრავალჯერადი მოწყობილობების გამოყენების უნარი, რომელთაგან ერთ-ერთი ლიდერის სტატუსი ენიჭება

მოძრაობა და მარშრუტიზაციის მონიტორინგი

ფუნქციონირება პრაქტიკულად არ არსებობს

ფუნქციონირება ძალიან განვითარებულია. ბევრი ტელეკომის ოპერატორები ყიდულობენ Arbor Peakflow SP გამო ღრმა და განვითარებული ფუნქციონალური მონიტორინგის მონიტორინგის ქსელში

პორტალს (ინდივიდუალური ინტერფეისი აბონენტისთვის ქსელის მხოლოდ ნათესავის მონიტორინგის მონიტორინგს უშუალოდ)

Არ არის გათვალისწინებული

გათვალისწინებული. ეს არის სერიოზული უპირატესობა ამ გამოსავალი, რადგან საკომუნიკაციო ოპერატორს შეუძლია გაყიდოს ინდივიდუალური DDOS დაცვის მომსახურება მათი აბონენტებს.

თავსებადი მოძრაობის დასუფთავების მოწყობილობები (თავდასხმის ჩახშობა)

Cisco. დაცვის მომსახურება მოდული.

 Arbor peakflow sp tms; Cisco Guard Services მოდული.
მონაცემთა ცენტრების დაცვა (მონაცემთა ცენტრი) ინტერნეტთან დაკავშირებისას ქსელის ოპერატორის ქსელში აბონენტის ქსელების მონიტორინგის მონიტორინგი თავდასხმების გამოვლენათავდამსხმელი- კავშირების ქსელის ოპერატორი უმაღლესი პროვაიდერების ქსელებზე მაგისტრალური ოპერატორის მონიტორინგი
ცხრილის ბოლო რიგი გვიჩვენებს Cisco Detectors- ისა და Arbor- ის გამოყენებას, რომლებიც რეკომენდირებულია Cisco Systems- ის მიერ. სკრიპტის მონაცემები აისახება შემდეგ სქემაში.

როგორც Cisco Traffic Provision Cleaning მოწყობილობა, რეკომენდირებულია გამოიყენოს Cisco Guard Service Module, რომელიც დამონტაჟებულია Cisco 6500/7600 შასი და ბრძანება მიღებული Cisco Detector დეტექტორი ან Arbor Peakflow SP CP არის დინამიური გადამისამართება, გაწმენდა და საპირისპირო ტრაფიკის ჩანაწერი ქსელში. გადამისამართების მექანიზმები არიან BGP- ის განახლებები უმაღლესი მარშრუტების მიმართ, ან უშუალო მენეჯერების მიმართ ზედამხედველის მიმართ საკუთრების ოქმის გამოყენებით. BGP განახლებების გამოყენებისას, ზემოთ მოყვანილი როუტერი მითითებულია ახალი NEX-Hop- ის ღირებულებით, რომელიც შეიცავს თავდასხმის შემცველობას - ისე, რომ ეს ტრაფიკი დასუფთავების სერვერზე მოდის. ამავდროულად, აუცილებელია ზრუნვა, რომ ეს ინფორმაცია არ იწვევს მარყუჟის ორგანიზაციას (ისე, რომ ქვემოთ როუტერი არ ცდილობენ ამ ტრაფიკის დასუფთავების მოწყობილობას გაწმენდილი). ამ მიზნით, BGP განახლების განაწილების მექანიზმები საზოგადოების პარამეტრების მიხედვით, ან GRE- გვირაბების გამოყენებით გაწმენდილი ტრაფიკის შესვლისას.

ასეთი მდგომარეობა არსებობდა, სანამ Arbor ქსელების მნიშვნელოვნად გაფართოვდა PeakFlow SP პროდუქტის ხაზი და არ წავიდა ბაზარზე სრულიად დამოუკიდებელი გადაწყვეტილება DDOS თავდასხმებისგან დაცვის შესახებ.

Arbor peakflow sp tms გამოჩენა

რამდენიმე წლის წინ, Arbor Networks- მა გადაწყვიტა თავისი პროდუქტის ხაზის განვითარება DDOS- ის თავდასხმებისგან, რათა მათ გაუზიარონ CISCO- სგან ამ მიმართულებისა და პოლიტიკის მიუხედავად. PeakFlow SP CP Solutions აქვს Cisco Detector- ზე ფუნდამენტურ უპირატესობებს, რადგან მათ გაანალიზეს ნაკადის ინფორმაცია ნიმუშის სიხშირის რეგულირების შესაძლებლობით, რაც იმას ნიშნავს, რომ არ არსებობდა შეზღუდვები ქსელებში საკომუნიკაციო ოპერატორების გამოყენების შესახებ და მაგისტრალურ არხებზე (განსხვავებით Cisco დეტექტორი, რომელიც ანალიზს საგზაო ასლი). გარდა ამისა, PeakFlow SP- ის სერიოზული უპირატესობა იყო ოპერატორების შესაძლებლობა, რათა უზრუნველყოს ინდივიდუალური მონიტორინგის სერვისების გაყიდვა აბონენტებს და დაიცვას მათი ქსელის სეგმენტები.

ამ ან სხვა მოსაზრებების გათვალისწინებით, Arbor მნიშვნელოვნად გაფართოვდა PeakFlow SP პროდუქტის ხაზი. რამდენიმე ახალი მოწყობილობა გამოჩნდა:

PeakFlow SP TMS (საფრთხის მართვის სისტემა) - DDOS- ის თავდასხმები MultaStage Filtering მიერ Peakflow SP CP- ისა და Asert Lab- ის მიერ, რომელიც ეკუთვნის Arbor Networks- ისა და ინტერნეტის DDOS თავდასხმების მონიტორინგს და ანალიზს;

PeakFlow sp Bi (ბიზნეს დაზვერვის)- სისტემური სკალირების უზრუნველყოფა, ლოგიკური ობიექტების რიცხვის გაზრდა და შეგროვებული და გაანალიზებული მონაცემების გადანაწილება;

PeakFlow SP PI (პორტალი ინტერფეისი)- მოწყობილობები, რომლებიც უზრუნველყოფენ აბონენტებს, რომლებიც ინდივიდუალური ინტერფეისით უზრუნველყოფენ საკუთარ უსაფრთხოებას;

Peakflow sp fs (ნაკადის ცენზურა)- მოწყობილობები, რომლებიც უზრუნველყოფენ აბონენტის მარშრუტების მონიტორინგს, კავშირებს ქვემო ქსელებსა და მონაცემთა დამუშავების ცენტრებში.

Arbor PeakFlow SP სისტემის საქმიანობის პრინციპები, ძირითადად, Cisco Clean Pipes- მა, მაგრამ Arbor რეგულარულად ვითარდება და გააუმჯობესებს სისტემებს, ამიტომ მომენტში Arbor- ის პროდუქციის ფუნქციონირება ბევრ პარამეტრში ბევრ პარამეტრზე უკეთესია, ვიდრე Cisco- ს, მათ შორის.

Პაემანზე, მაქსიმალური შესრულება Cisco Guard Modets მიღწეული იქნება Cisco 6500/7600 შასის 4 გვარდიის მოდულის კასეტური შესაქმნელად, ხოლო ამ მოწყობილობების სრული კლასტერული არ არის განხორციელებული. ამავდროულად, Arbor Peakflow SP TMS- ის ზედა მოდელები აქვს 10 გბ / სთ-მდე, და თავის მხრივ, შეიძლება კლავს.

მას შემდეგ, რაც Arbor დაიწყო პოზიცია თავს, როგორც დამოუკიდებელი მოთამაშე ბაზარზე DDOS- თავდასხმების გამოვლენა და აღსაკვეთად, Cisco დაიწყო პარტნიორი, რომელიც უზრუნველყოფს, როგორც საჭირო მონიტორინგი ნაკადის მონაცემების ქსელის ტრაფიკის, მაგრამ ეს არ იქნება პირდაპირი კონკურენტი. ასეთი კომპანია გახდა Narus, რომელიც აწარმოებს ნაკადის მონაცემთა ბაზის მონიტორინგის სისტემას (Narusinsight) და შევიდა პარტნიორობით Cisco Systems. თუმცა, ეს პარტნიორობა არ მიუღია სერიოზული განვითარება და ყოფნა ბაზარზე. უფრო მეტიც, ზოგიერთი შეტყობინების მიხედვით, Cisco არ აპირებს ინვესტირებას მათი Cisco Detector და Cisco Guard Solutions, ფაქტობრივად, ტოვებს ამ ნიშა კომპანია Arbor ქსელების კომპანიას.

Cisco და Arbor Solutions ზოგიერთი თვისებები

აღსანიშნავია Cisco და Arbor Solutions- ის ზოგიერთი თვისება.

  1. Cisco Guard შეიძლება გამოყენებულ იქნას როგორც დეტექტორთან და დამოუკიდებლად. ამ უკანასკნელ შემთხვევაში, ის დამონტაჟებულია In-Line Mode- ში და ასრულებს დეტექტორების ანალიზს, და საჭიროების შემთხვევაში, ფილტრებს და გაწმენდის მოძრაობას. ამ რეჟიმის მინუსი ის არის, რომ, პირველ რიგში, დამატებითი პუნქტი დაემატება პოტენციურად მარცხი, და მეორე, დამატებითი საგზაო დაგვიანებით (თუმცა ეს პატარაა, რადგან ფილტრაციის მექანიზმი ჩართულია). რეკომენდებულია Cisco Guard Mode- ისთვის - ელოდება ბრძანებას, რომელიც დაკავშირებულია თავდასხმის შემცველი, ფილტრაციისა და ქსელში შესვლისას.
  2. Arbor peakflow sp tms მოწყობილობები ასევე შეიძლება იმუშაოს როგორც off-ramp რეჟიმში და in-line რეჟიმში. პირველ შემთხვევაში, მოწყობილობა პასიურად ელოდება ბრძანებას, რომ გადალახოს მოძრაობა, რომელიც შეიცავს თავდასხმას გაწმენდისა და ქსელში. მეორეში, ის ყველა სატრანსპორტო საშუალებებით გადადის, აწარმოებს მონაცემებს arborflow საფუძველზე და გადასცემს მათ peakflow SP CP ანალიზი და გამოვლენის თავდასხმების. Arborflow არის ფორმატის მსგავსი NetFlow, მაგრამ გაუმჯობესდა Arbor მისი Peakflow SP სისტემები. საგზაო მოძრაობის მონიტორინგი და თავდასხმების გამოვლენა PeakFlow SP CP- ს TMS მონაცემებისგან მიღებული არბინების მონაცემების საფუძველზე. როდესაც თავდასხმა გამოვლინდა, Peakflow SP CP ოპერატორი აძლევს ბრძანებას მისი ჩახშობის, რის შემდეგაც TMS გამოდის ფილტრები და გაასუფთავებს მოძრაობის თავდასხმის. განსხვავებით Cisco, Peakflow SP TMS სერვერი ვერ იმუშავებს დამოუკიდებლად, ის მოითხოვს Peakflow SP CP სერვერს მუშაობა, რომელიც ასრულებს საგზაო ანალიზი.
  3. დღეს, საუკეთესო სპეციალისტები ეთანხმებიან, რომ ქსელის ადგილობრივი ტერიტორიების დაცვის ამოცანები (მაგალითად, CD- ების დამაკავშირებელი ან ქვემო ქსელების კავშირი)

მსგავსი სტატიები