DOS un DDoS uzbrukumi: koncepcija, veidi, noteikšanas un aizsardzības metodes. DDoS uzbrukums - kas tas ir? Kas tiek izmantots ddos uzbrukumiem

Arvien biežāk hostinga pakalpojumu sniedzēju oficiālajos ziņojumos šur tur mirgo pieminēšana par atspoguļotiem DDoS uzbrukumiem. Arvien biežāk lietotāji, atklājuši savas vietnes nepieejamību, nekavējoties pieņem DDoS. Patiešām, marta sākumā Runet piedzīvoja veselu šādu uzbrukumu vilni. Tajā pašā laikā eksperti apliecina, ka jautrība tikai sākas. Ir vienkārši neiespējami ignorēt parādību, kas ir tik steidzama, briesmīga un intriģējoša. Tāpēc šodien parunāsim par mītiem un faktiem par DDoS. No hostinga nodrošinātāja viedokļa, protams.

Neaizmirstama diena

2013. gada 20. novembrī pirmo reizi mūsu uzņēmuma 8 gadu pastāvēšanas vēsturē visa tehniskā vietne vairākas stundas nebija pieejama bezprecedenta DDoS uzbrukuma dēļ. Cietuši desmitiem tūkstošu mūsu klientu visā Krievijā un NVS valstīs, nemaz nerunājot par mums pašiem un mūsu interneta pakalpojumu sniedzējiem. Pēdējā lieta, ko pakalpojumu sniedzējam izdevās izlabot, pirms baltā gaisma nodzisa visiem, bija tā, ka tā ievades kanāli bija pilnībā aizsērējuši ienākošo trafiku. Lai to vizualizētu, iedomājieties savu vannu ar parastu izlietni, kurā ieskrēja Niagāras ūdenskritums.

Pat augstākā līmeņa pakalpojumu sniedzēji ķēdē ir sajutuši šī cunami atbalsis. Zemāk esošie grafiki skaidri ilustrē todien notikušo ar interneta trafiku Sanktpēterburgā un Krievijā. Ievērojiet stāvās virsotnes pulksten 15:00 un 18:00, tieši tad, kad mēs reģistrējām uzbrukumus. Šiem pēkšņi plus 500-700 GB.

Uzbrukuma lokalizācija prasīja vairākas stundas. Tika aprēķināts serveris, kurā tas tika mitināts. Tad arī tika aprēķināts interneta teroristu mērķis. Vai jūs zināt, kam trāpīja visa šī ienaidnieka artilērija? Viena ļoti parasta, pieticīga klienta vietne katrā.

Mīts numur viens: “Uzbrukuma mērķis vienmēr ir mitināšanas pakalpojumu sniedzējs. Tās ir viņa konkurentu mahinācijas. Nav mans. " Faktiski visticamākais interneta teroristu mērķis ir pastāvīga klienta vietne. Tā ir viena no jūsu mitināšanas kaimiņiem. Vai varbūt jūsu.

Ne viss tas DDoS...

Pēc notikumiem mūsu tehniskajā vietnē 2013. gada 20. novembrī un to daļējas atkārtošanās 2014. gada 9. janvārī daži lietotāji sāka pieņemt DDoS jebkuras privātas savas vietnes kļūmes gadījumā: "Tas ir DDoS!" un "Vai jums atkal ir DDoS?"

Svarīgi atcerēties, ja saskaramies ar tādu DDoS, ka to jūt pat klienti, nekavējoties ziņojam paši.

Mēs vēlamies nomierināt tos, kuri steidzas panikā: ja ar jūsu vietni kaut kas nav kārtībā, tad varbūtība, ka tā ir DDoS, ir mazāka par 1%. Vienkārši tāpēc, ka ar vietni var notikt daudz kas un tas "daudz kas" notiek daudz biežāk. Par pašātrās diagnostikas metodēm, kas tieši notiek ar jūsu vietni, mēs runāsim vienā no turpmākajām ziņām.

Tikmēr vārdu lietojuma precizitātes labad precizēsim terminus.

Par noteikumiem

DoS uzbrukums (no angļu valodas pakalpojuma Denial of Service) - Šis ir uzbrukums, kas paredzēts, lai serverim tiktu atteikts pakalpojums pārslodzes dēļ.

DoS uzbrukumi nav saistīti ar aprīkojuma bojājumiem vai informācijas zādzību; to mērķis - likt serverim pārstāt reaģēt. Galvenā atšķirība starp DoS ir tā, ka uzbrukums notiek no vienas iekārtas uz otru. Ir tieši divi dalībnieki.

Bet patiesībā mēs praktiski neievērojam DoS uzbrukumus. Kāpēc? Jo uzbrukumu mērķi visbiežāk ir industriālie objekti (piemēram, jaudīgi produktīvi hostinga uzņēmumu serveri). Un, lai šādas mašīnas darbībai nodarītu ievērojamu kaitējumu, ir nepieciešams daudz vairāk jaudas nekā pašai. Šī ir pirmā lieta. Un, otrkārt, DoS uzbrukuma iniciatoru ir diezgan viegli identificēt.

DDoS - būtībā tas pats, kas DoS, tikai uzbrukums ir izplatīta daba. Ne pieci, ne desmit, ne divdesmit, bet simtiem un tūkstošiem datoru vienlaikus piekļūst vienam serverim no dažādām vietām. Tādu mašīnu armiju sauc robottīkls... Ir gandrīz neiespējami aprēķināt klientu un organizatoru.

Līdzdalībnieki

Kādi datori ir iekļauti robottīklā?

Jūs būsiet pārsteigts, bet bieži vien šīs ir visparastākās mājas automašīnas. Kas zina?.. - ļoti iespējams, jūsu mājas dators aiznests ļaunuma pusē.

Šim nolūkam ir nepieciešams maz. Uzbrucējs atrod ievainojamību populārā operētājsistēma vai aplikāciju un ar tās palīdzību inficē Jūsu datoru ar Trojas zirgu, kas noteiktā dienā un stundā uzdod Jūsu datoram sākt veikt noteiktas darbības. Piemēram, nosūtiet pieprasījumus uz noteiktu IP. Bez jūsu zināšanām un līdzdalības, protams.

Mīts numur divi: « DDoS tiek darīts kaut kur tālu no manis, īpašā pazemes bunkurā, kur sēž bārdaini hakeri ar sarkanām acīm. Patiesībā, to nezinot, jūs, jūsu draugi un kaimiņi - ikviens var būt neapzināts līdzdalībnieks.

Tas tiešām notiek. Pat ja jūs par to nedomājat. Pat ja esi šausmīgi tālu no TĀ (it īpaši, ja esi tālu no TĀ!).

Izklaidējoša uzlaušana vai DDoS mehānika

DDoS parādība ir neviendabīga. Šī koncepcija apvieno daudzas darbības iespējas, kas noved pie viena rezultāta (pakalpojuma atteikums). Apsvērsim problēmu variantus, ko DDoS lietotāji var mums radīt.

Pārmērīga servera skaitļošanas resursu izmantošana

Tas tiek darīts, nosūtot paketes uz konkrētu IP, kuras apstrādei ir nepieciešams liels resursu apjoms. Piemēram, lai ielādētu lapu, ir jāizpilda liels skaits SQL vaicājumu. Visi uzbrucēji pieprasīs šo konkrēto lapu, kas izraisīs servera pārslodzi un pakalpojuma atteikumu regulāriem, likumīgiem vietnes apmeklētājiem.
Šis ir skolnieka līmeņa uzbrukums, kurš pāris vakarus ir veltījis žurnāla Hacker lasīšanai. Viņa nav problēma. Tas pats pieprasītais URL tiek aprēķināts uzreiz, pēc tam piekļuve tam tiek bloķēta tīmekļa servera līmenī. Un tas ir tikai viens no risinājumiem.

Saziņas kanālu pārslodze uz serveri (pie izejas)

Šī uzbrukuma grūtības pakāpe ir aptuveni tāda pati kā iepriekšējā. Uzbrucējs aprēķina vietnes vissarežģītāko lapu, un viņa kontrolē esošais robottīkls sāk to masveidā pieprasīt.

Iedomājieties, ka Vinnija Pūka neredzamā daļa ir bezgala liela
Šajā gadījumā ir arī ļoti viegli saprast, ar ko tieši ir aizsērējis izejošais kanāls, un aizliegt piekļuvi šai lapai. Viena veida vaicājumus ir viegli redzēt īpaši komunālie pakalpojumi kas ļauj aplūkot tīkla interfeiss un analizēt trafiku. Pēc tam ugunsmūrim tiek uzrakstīts noteikums, kas bloķē šādus pieprasījumus. Tas viss tiek darīts regulāri, automātiski un tik zibenīgi, ka lielākā daļa lietotāju pat nezina par uzbrukumu.

Mīts numur trīs: "A tomēr viņi reti apmeklē manu hostingu, un es vienmēr viņus ievēroju. Patiesībā jūs nevarat redzēt vai sajust 99,9% uzbrukumu. Bet ikdienas cīņa ar viņiem - tas ir hostinga uzņēmuma ikdienas darbs. Tāda ir mūsu realitāte, kurā uzbrukums ir lēts, konkurence nav mērogā, un ne visi demonstrē diskrimināciju metodēs, kā cīnīties par vietu saulē.

Saziņas kanālu pārslodze uz serveri (pie ieejas)

Šī jau ir mīkla tiem, kas žurnālu Hacker lasījuši vairāk nekā vienu dienu.

Foto no radio "Echo of Moscow" vietnes. Mēs neatradām neko vizuālāku, lai attēlotu DDoS ar ievades kanālu pārslodzi.
Lai kanālu piepildītu ar ienākošo trafiku līdz atteices punktam, jums ir nepieciešams robottīkls, kas spēj ģenerēt nepieciešamo trafika apjomu. Bet varbūt ir veids, kā iedot mazu trafiku, bet iegūt daudz?

Ir, un ne viens. Ir daudz iespēju, kā palielināt uzbrukumu, bet viena no populārākajām šobrīd ir uzbrukums, izmantojot publiskos DNS serverus. Speciālisti šo pastiprināšanas metodi sauc DNS pastiprināšana(ja nu kādam vairāk interesē ekspertu termini). Un, ja tas ir vienkāršāk, tad iedomājieties lavīnu: pietiek ar nelielu piepūli, lai to salauztu, un pietiek ar necilvēcīgiem resursiem, lai to apturētu.

Tu un es to zinām publiskais DNS serveris pēc pieprasījuma informē ikvienu, kas vēlas uzzināt par jebkuru domēna vārdu. Piemēram, mēs prasām šādam serverim: pastāstiet man par domēnu sprinthost.ru. Un viņš bez vilcināšanās izmet mums visu, ko zina.

DNS servera vaicājums ir ļoti vienkārša darbība. Sazināties ar viņu gandrīz neko nemaksā, pieprasījums būs mikroskopisks. Piemēram, šādi:

Atliek tikai izvēlēties domēna vārdu, par kuru informācija veidos iespaidīgu datu paketi. Tātad sākotnējie 35 baiti ar nelielu rokas kustību pārvēršas par gandrīz 3700. Ir pieaugums vairāk nekā 10 reizes.

Bet kā pārliecināties, ka atbilde tiek novirzīta uz pareizo IP? Kā izkrāpt pieprasījuma avota IP, lai DNS serveris sniegtu atbildes upura virzienā, kurš nav pieprasījis nekādus datus?

Fakts ir tāds, ka DNS serveri darbojas UDP sakaru protokols, kas vispār neprasa pieprasījuma avota apstiprinājumu. Šajā gadījumā izejošā IP viltošana lietotājam nav liela problēma. Tāpēc šāda veida uzbrukumi tagad ir tik populāri.

Vissvarīgākais ir tas, ka šāda uzbrukuma veikšanai pietiek ar ļoti mazu robottīklu. Un vairāki izkaisīti publiskais DNS, kurš nesaskatīs neko dīvainu tajā, ka dažādi lietotāji ik pa laikam pieprasa datus uz viena un tā paša saimniekdatora adresi. Un tikai tad visa šī satiksme saplūdīs vienā straumē un āmurēs vienu "cauruli" cieši.

Docētājs nevar zināt mērķa kanālu jaudas. Un, ja viņš pareizi neaprēķina sava uzbrukuma jaudu un neaizsprosto kanālu uz serveri uzreiz par 100%, uzbrukumu var ātri un viegli atvairīt. Izmantojot tādus utilītus kā TCPdump ir viegli noskaidrot, ka ienākošā trafika nāk no DNS, un liegt to ugunsmūra līmenī. Šī opcija - atteikšanās pieņemt trafiku no DNS - visiem ir saistīta ar zināmām neērtībām, tomēr gan serveri, gan tajos esošās vietnes turpinās veiksmīgi strādāt.

Šī ir tikai viena no daudzajām iespējām, kā uzlabot uzbrukumu. Ir daudz citu uzbrukumu veidu, par tiem varam runāt citreiz. Tikmēr es vēlos apkopot, ka viss iepriekš minētais attiecas uz uzbrukumu, kura jauda nepārsniedz servera joslas platumu.

Ja uzbrukums ir spēcīgs

Ja uzbrukuma jauda pārsniedz servera kanāla kapacitāti, notiek tālāk norādītais. Interneta kanāls uzreiz tiek aizsērēts līdz serverim, tad mitināšanas vietnei, tā interneta nodrošinātājam, augstāka līmeņa pakalpojumu sniedzējam un tā tālāk un uz augšu (ilgtermiņā - līdz absurdākajām robežām), ciktāl uzbrukuma spēks būs.

Un tas ir tad, kad tas kļūst globāla problēma visiem. Īsāk sakot, ar to mums bija jātiek galā 2013. gada 20. novembrī. Un, kad notiek liela mēroga satricinājumi, ir pienācis laiks ieslēgt īpašu maģiju!

Kaut kas līdzīgs izskatās pēc īpašas maģijas.Ar šīs maģijas palīdzību ir iespējams aprēķināt serveri, uz kuru ir vērsta trafika, un bloķēt tā IP interneta pakalpojumu sniedzēja līmenī. Lai tas pārstātu saņemt zvanus uz šo IP, izmantojot sakaru kanālus ar ārpasauli (augšupsaites). Terminu mīļotāji: eksperti sauc šo procedūru "Melnais caurums", no angļu blackhole.

Šajā gadījumā uzbrukušais serveris ar 500–1500 kontiem paliek bez sava IP. Tam tiek piešķirts jauns IP adrešu apakštīkls, pa kuru nejauši vienmērīgi tiek sadalīti klientu konti. Turklāt eksperti gaida uzbrukuma atkārtošanos. Tas gandrīz vienmēr atkārtojas.

Un, kad tas atkārtojas, uz uzbrukuma IP vairs nav 500–1000 kontu, bet gan ducis vai divi.

Aizdomās turamo loks sašaurinās. Šie 10–20 konti atkal tiek izplatīti uz dažādām IP adresēm. Un atkal inženieri slazdā gaida uzbrukuma atkārtošanos. Atkal un atkal aizdomās palikušie konti tiek izplatīti pa dažādām IP adresēm, un tā, pakāpeniski tuvojoties, tiek aprēķināts uzbrukuma mērķis. Visi pārējie konti līdz tam laikam atgriežas normālā iepriekšējā IP režīmā.

Kā ir skaidrs, šī procedūra nav tūlītēja, tās ieviešana prasa laiku.

Mīts numur ceturtais:“Kad notiek masīvs uzbrukums, manam saimniekam nav rīcības plāna. Viņš tikai gaida, aizverot acis, kad beigsies bombardēšana, un atbild uz manām vēstulēm ar tāda paša veida atbildēm.Tas tā nav: uzbrukuma gadījumā mitināšanas pakalpojumu sniedzējs rīkojas pēc plāna, lai pēc iespējas ātrāk to lokalizētu un novērstu sekas. Un viena veida burti ļauj nodot notiekošā būtību un tajā pašā laikā ietaupīt resursus, kas nepieciešami, lai pēc iespējas ātrāk izkļūtu no ārkārtas situācijas.

Vai tuneļa galā ir gaisma?

Tagad mēs redzam, ka DDoS aktivitāte nepārtraukti pieaug. Uzbrukuma pasūtīšana ir kļuvusi ļoti pieņemama un neglīti lēta. Lai izvairītos no apsūdzībām propagandā, nekādu pruflinku nebūs. Bet pieņem mūsu vārdu, tā ir.

Mīts numur piektais: “DDoS uzbrukums ir ļoti dārgs pasākums, un tikai biznesa magnāti var atļauties tādu pasūtīt. Ārkārtējā gadījumā tā ir slepeno dienestu intriga! Patiesībā šādi pasākumi ir kļuvuši ārkārtīgi pieejami.

Tāpēc nav pamata cerēt, ka ļaunprātīga darbība norims pati no sevis. Drīzāk tas tikai kļūs stiprāks. Atliek tikai kalt un asināt ieročus. Ko mēs darām, uzlabojam tīkla infrastruktūru.

Jautājuma juridiskā puse

Šis ir pilnīgi nepopulārs aspekts diskusijās par DDoS uzbrukumiem, jo mēs reti dzirdam par kūdītāju notveršanas un sodīšanas gadījumiem. Tomēr jums vajadzētu atcerēties: DDoS uzbrukums ir noziedzīgs nodarījums. Lielākajā daļā pasaules valstu, ieskaitot Krievijas Federāciju.

Mīts numur sestais: « Tagad pietiekami daudz zinu par DDoS, pasūtīšu brīvdienu konkurentam - un man par to nekas nesanāks!" Iespējams, ka tā arī būs. Un, ja tā notiks, tas nešķitīs maz.

DDoS stāsta saistīšana maksājumu sistēma Palīdzēt
Aizraujošs noslēgums

Kopumā mēs nevienam neiesakām iesaistīties ļaunajā DDoS praksē, lai neizraisītu taisnīguma dusmas un nesagrozītu savu karmu. Un mēs savas darbības specifikas un asās pētnieciskās intereses dēļ turpinām pētīt problēmu, stāvam sardzē un pilnveidojam aizsardzības struktūras.

PS:mums nav pietiekami daudz siltu vārdu, lai izteiktu savu pateicību, tāpēc mēs vienkārši sakām"Paldies!" mūsu pacietīgajiem klientiem, kuri mūs sirsnīgi atbalstīja grūtajā 2013. gada 20. novembra dienā. Jūs esat teicis daudzus uzmundrinošus vārdus mūsu atbalstam

Datorsistēmā, lai to novestu pie kļūmes, tas ir, tādu apstākļu radīšana, kuros sistēmas legālie (leģitīmie) lietotāji nevar piekļūt sistēmas nodrošinātajiem resursiem (serveriem), vai arī šī piekļuve ir apgrūtināta. "Ienaidnieka" sistēmas kļūme var būt arī solis pretī sistēmas apgūšanai (ja avārijas situācijā programmatūra sniedz kādu kritisku informāciju – piemēram, versiju, programmas koda daļu utt.). Bet biežāk tas ir ekonomiskā spiediena mērs: pakalpojuma, kas rada ieņēmumus, dīkstāve, pakalpojumu sniedzēja rēķini un pasākumi, lai izvairītos no uzbrukuma, būtiski sasniedz mērķi.

Ja uzbrukums tiek veikts vienlaikus no liela skaita datoru, viņi runā par DDoS uzbrukums(no angļu valodas. Izplatīts pakalpojuma atteikums, izplatīts pakalpojuma atteikuma uzbrukums). Dažos gadījumos faktisko DDoS uzbrukumu izraisa neparedzēta darbība, piemēram, populārā interneta resursā ievietojot saiti uz vietni, kas mitināta ne pārāk produktīvā serverī (slashdot efekts). Liels lietotāju pieplūdums izraisa servera pieļaujamās slodzes pārsniegšanu un līdz ar to pakalpojuma atteikšanu dažiem no tiem.

DoS uzbrukuma veidi

DoS nosacījumam ir dažādi iemesli:

Kļūda programmas kodā, kas noved pie piekļuves neizmantotai adrešu telpas daļai, nederīgas instrukcijas izpildei vai citam neapstrādātam izņēmumam, ja notiek servera programmas - servera programmas neparastas darbības pārtraukšana. Klasisks piemērs ir nulles apgriešana (eng. nulles) adrese.
Nepietiekama lietotāja datu validācija izraisot bezgalīgu vai ilgu ciklu vai palielinātu procesora resursu ilgtermiņa patēriņu (līdz procesora resursu izsmelšanai) vai liela apjoma piešķiršanu brīvpiekļuves atmiņa(līdz pieejamās atmiņas izsmelšanai).
Plūdi(ang. plūdi- "plūdi", "pārplūde") - uzbrukums, kas saistīts ar lielu skaitu parasti bezjēdzīgu vai nepareizi formatētu pieprasījumu datorsistēmu vai tīkla iekārtas, kuru mērķis ir vai noved pie sistēmas kļūmes sistēmas resursu – procesora, atmiņas vai sakaru kanālu – izsmelšanas dēļ.
II tipa uzbrukums- uzbrukums, kura mērķis ir izraisīt nepatiesu aizsardzības sistēmas darbību un tādējādi izraisīt resursa nepieejamību.

Ja uzbrukums (parasti plūdi) tiek veikts vienlaikus no liela skaita IP adrešu - no vairākiem tīklā izkliedētiem datoriem -, tad šajā gadījumā to sauc izplatīts pakalpojumu liegšanas uzbrukums ( DDoS).

Kļūdu izmantošana

Ekspluatēt attiecas uz programmu, programmatūras koda daļu vai programmatūras komandu secību, kas izmanto programmatūras ievainojamības un tiek izmantota, lai veiktu uzbrukumu kibersistēmai. No varoņdarbiem, kas noved pie DoS uzbrukuma, bet nav piemēroti, piemēram, "ienaidnieka" sistēmas kontroles pārņemšanai, zināmākie ir WinNuke un Ping of death.

Plūdi

Informāciju par plūdiem kā etiķetes pārkāpumu skatiet sadaļā Plūdi.

Plūdi izsaukt milzīgu bezjēdzīgu pieprasījumu straumi no dažādiem datoriem, lai ar darbu aizņemtu "ienaidnieka" sistēmu (procesoru, RAM vai sakaru kanālu) un tādējādi to uz laiku atslēgtu. Jēdziens "DDoS uzbrukums" ir praktiski līdzvērtīgs jēdzienam "plūds", un ikdienā abi bieži tiek lietoti kā sinonīmi ("flod the server" = "override the DDoS server").

Plūdu izveidošanai var izmantot gan parastās tīkla utilītas, piemēram, ping (tas ir zināms, piemēram, interneta kopiena "Upyachka"), gan īpašas programmas. DDoS iespējas bieži tiek "iešūtas" robottīklos. Ja vietnē ar lielu trafiku tiek atrasta starpvietņu skriptēšanas ievainojamība vai iespēja iekļaut attēlus no citiem resursiem, šo vietni var izmantot arī DDoS uzbrukumam.

Sakaru kanālu un TCP apakšsistēmas applūšana

Jebkurš dators, kas sazinās ar ārpasauli, izmantojot TCP/IP, ir pakļauts šāda veida plūdiem:

SYN plūdi - šāda veida plūdu uzbrukumā, a liels skaits SYN paketes, izmantojot TCP (pieprasa atvērt savienojumu). Tajā pašā laikā pēc neilga laika uzbrūkošajā datorā ir izsmelts atvēršanai pieejamo ligzdu skaits (programmatūras tīkla ligzdas, porti) un serveris pārstāj reaģēt.
UDP plūdi - šāda veida plūdi neuzbrūk mērķa datoram, bet gan tā sakaru kanālam. ISP pamatoti pieņem, ka vispirms ir jāpiegādā UDP paketes, un TCP var gaidīt. Liels skaits dažāda lieluma UDP pakešu aizsprosto sakaru kanālu, un serveris, kas darbojas, izmantojot TCP protokolu, pārstāj reaģēt.
ICMP flood - tas pats, bet izmantojot ICMP paketes.

Lietojumprogrammas līmeņa plūdi

Daudzi pakalpojumi ir izstrādāti tā, ka neliels pieprasījums var izraisīt lielu servera skaitļošanas jaudas patēriņu. Šajā gadījumā uzbrūk nevis sakaru kanālam vai TCP apakšsistēmai, bet gan pašam pakalpojumam (pakalpojumam) - ar šādu "slimu" pieprasījumu plūdiem. Piemēram, tīmekļa serveri ir neaizsargāti pret HTTP plūdiem — lai atspējotu tīmekļa serveri, var izmantot vienkāršu GET / vai sarežģītu datu bāzes vaicājumu, piemēram, GET /index.php?search=.<случайная строка> .

DoS uzbrukuma noteikšana

Tiek uzskatīts, ka DoS uzbrukumu noteikšanai nav nepieciešami īpaši rīki, jo nevar nepamanīt DoS uzbrukuma faktu. Daudzos gadījumos tā ir taisnība. Tomēr diezgan bieži tika novēroti veiksmīgi DoS uzbrukumi, kurus cietušie pamanīja tikai pēc 2-3 dienām. Tas notika, ka uzbrukuma negatīvās sekas ( plūdi uzbrukumi) radīja liekus izdevumus, apmaksājot lieko interneta trafiku, kas atklājās tikai saņemot rēķinu no interneta pakalpojumu sniedzēja. Turklāt daudzas ielaušanās noteikšanas metodes ir neefektīvas mērķa tuvumā, bet efektīvas tīkla mugurkaulos. Šādā gadījumā ir vēlams tur uzstādīt atklāšanas sistēmas, nevis gaidīt, kad uzbrukušais lietotājs to pamanīs un lūgs palīdzību. Turklāt, lai efektīvi cīnītos pret DoS uzbrukumiem, ir jāzina DoS uzbrukumu veids, raksturs un citas īpašības, un atklāšanas sistēmas ļauj ātri iegūt šo informāciju.

DoS uzbrukuma noteikšanas metodes var iedalīt vairākās lielās grupās:

uz parakstu balstīta - pamatojoties uz kvalitatīvu trafika analīzi.
statistiski - pamatojoties uz kvantitatīvu trafika analīzi.
hibrīds (kombinēts) - apvieno abu iepriekš minēto metožu priekšrocības.

DoS aizsardzība

Pretpasākumus pret DoS uzbrukumiem var iedalīt pasīvajos un aktīvajos, kā arī preventīvajos un reaktīvajos.

Zemāk ir īss saraksts pamata metodes.

Profilakse. To iemeslu novēršana, kas mudina noteiktas personas organizēt un veikt DoS uzbrukumus. (Ļoti bieži kiberuzbrukumi parasti ir personisku aizvainojumu, politisku, reliģisku un citu nesaskaņu, upura provocējošas uzvedības u.c. rezultāts.)
Filtrēšana un melns caurums. Satiksmes bloķēšana no uzbrūkošajām mašīnām. Šo metožu efektivitāte samazinās, tuvojoties uzbrukuma mērķim, un palielinās, tuvojoties uzbrukuma mašīnai.
Apgrieztā DDOS- uzbrukumam izmantotās satiksmes novirzīšana uz uzbrucēju.
Ievainojamību novēršana. Nedarbojas pret plūdi- uzbrukumi, kuru "ievainojamība" ir noteiktu sistēmas resursu ierobežotība.
Resursu veidošana. Protams, tas nenodrošina absolūtu aizsardzību, taču ir labs fons cita veida aizsardzības pielietošanai pret DoS uzbrukumiem.
Izkliede. Izplatītu un dublējošu sistēmu izveide, kas nepārtrauks apkalpot lietotājus, pat ja daži to elementi kļūs nepieejami DoS uzbrukuma dēļ.
Izvairīšanās. Uzbrukuma tiešā mērķa (domēna nosaukuma vai IP adreses) pārvietošana prom no citiem resursiem, kas bieži tiek ietekmēti kopā ar tiešo uzbrukuma mērķi.
Proaktīva reakcija. Ietekme uz avotiem, organizatoru vai uzbrukuma vadības centru gan ar cilvēka radītiem, gan organizatoriskiem un juridiskiem līdzekļiem.
Aprīkojuma izmantošana DoS uzbrukumu atvairīšanai. Piemēram DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® un citi ražotāji.
Pakalpojuma iegāde aizsardzībai pret DoS uzbrukumiem. Būtiski, ja plūdi pārsniedz tīkla kanāla joslas platumu.

Skatīt arī

Piezīmes (rediģēt)

Literatūra

Kriss Kasperskis Datorvīrusi iekšpusē un ārpusē. - Pēteris. - SPb. : Pēteris, 2006. - S. 527. - ISBN 5-469-00982-3
Stīvens Nortkats, Marks Kūpers, Mets Fērnovs, Kārena Frederika. Tipisku drošības pārkāpumu analīze tīklos = ielaušanās paraksti un analīze. - New Riders Publishing (angļu valodā) SPb .: Izdevniecība "Williams" (krievu val.), 2001. - P. 464. - ISBN 5-8459-0225-8 (krievu valodā), 0-7357-1063-5 (angļu valodā)
Moriss, R.T= 4.2BSD Unix TCP/IP programmatūras vājums. - Datorzinātnes tehniskais ziņojums Nr.117. - AT&T Bell Laborotories, 1985. gada februāris.
Bellovins, S. M.= Drošības problēmas TCP/IP protokola komplektā. - Computer Communication Review, Vol. 19, Nr.2. - AT&T Bell Laborotories, 1989. gada aprīlis.
= dēmons9 / maršruts / bezgalība "IP-spolēšana Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Issue 48 .-- Guild Production, 1996. gada jūlijs.
= dēmons9 / maršruts / bezgalība "Neptūna projekts". - Phrack Magazine, Vol.7, Issue 48 .-- Guild Production, 1996. gada jūlijs.

Saites

DoS uzbrukums Open Directory Project saišu direktorijā (

DDoS uzbrukums (Distributed Denial of Service uzbrukums) ir darbību kopums, kas var pilnībā vai daļēji atspējot interneta resursu. Gandrīz jebkurš interneta resurss, piemēram, vietne, spēļu serveris vai valdības resurss, var darboties kā upuris. Šobrīd hakeram vienam pašam organizēt DDoS uzbrukumu ir gandrīz neiespējami. Vairumā gadījumu uzbrucējs izmanto ar vīrusu inficētu datoru tīklu. Vīruss ļauj iegūt nepieciešamo un pietiekamo attālināta piekļuve uz inficēto datoru. Šādu datoru tīklu sauc par robottīklu. Parasti robottīkliem ir koordinējošais serveris. Nolemjot uzsākt uzbrukumu, uzbrucējs nosūta komandu koordinatora serverim, kas savukārt dod signālu ikvienam sākt veikt ļaunprātīgus tīkla pieprasījumus.

DDoS uzbrukumu iemesli

Personisks naidīgums

Šis iemesls ir diezgan izplatīts. Pirms kāda laika neatkarīgais pētnieciskais žurnālists Braiens Krebs atklāja lielākā pasūtījuma DDoS uzbrukumu veikšanas dienesta - vDOS - aktivitātes. Informācija tika sniegta pilnībā detalizēti, kas izraisīja šī dienesta organizatoru arestu. Atbildot uz to, hakeri uzsāka uzbrukumu žurnālista emuāram, kura jauda sasniedza 1 Tbit/s. Šis uzbrukums kļuva par visspēcīgāko pasaulē visos gados.

Izklaide

Mūsdienās kļūst vieglāk patstāvīgi organizēt primitīvu DDoS uzbrukumu. Šāds uzbrukums būtu ļoti nepilnīgs un nebūtu anonīms. Diemžēl lielākā daļa no tiem, kuri nolēma justies kā "hakeri", nezina ne par pirmo, ne par otro. Tomēr daudzi skolēni bieži praktizē DDoS uzbrukumus. Šādu lietu iznākumi ir ļoti dažādi.

Politiskais protests (haktivisms)

Viens no pirmajiem uzbrukumiem ar sociāliem motīviem bija DDoS uzbrukums, ko 1996. gadā veica hakeris Omega. Omega bija Cult of the Dead Crew (cDc) hakeru koalīcijas dalībniece. Termins “haktivisms” ir kļuvis populārs plašsaziņas līdzekļos, jo pieaug sociāla pamata kiberuzbrukumu biežums. Tipiski hacktivisti ir grupas Anonymous un LulzSec.

Negodīga konkurence

Šādi motīvi ir izplatīti spēļu serveru nozarē, bet mazumtirdzniecības nozarē šādi gadījumi ir diezgan izplatīti. Pietiekami efektīvs veids negodīga konkurence, kas var sabojāt reputāciju tirdzniecības platforma ja tā īpašnieki laikus nevēršas pēc palīdzības pie speciālistiem. Šo motīvu var atšķirt no pārējiem kā visizplatītāko.

Izspiešana vai šantāža

Šajā gadījumā uzbrucējs no potenciālā upura pieprasa naudas summu par uzbrukuma neveikšanu. Vai par tā izbeigšanu. Par šādu uzbrukumu upuriem bieži kļūst lielas organizācijas, piemēram, 2014. gada laikā tika uzbrukts bankai Tinkoff un IT resursam Habrahabr, lielākajam torrentu izsekotājs Rutracker.org (kā tas bija?).

DDoS uzbrukumu sekas

DDoS uzbrukumu sekas var būt ļoti dažādas, sākot no jūsu servera izslēgšanas no datu centra līdz pilnīgai resursa reputācijas un klienta trafika zaudēšanai. Daudzas organizācijas neapzināti izvēlas negodīgus drošības pakalpojumu sniedzējus, lai ietaupītu naudu, kas bieži vien nedod nekādu labumu. Lai izvairītos no šādām problēmām, iesakām sazināties ar savas nozares profesionāļiem.

Uzbrukumi, kas ir iegājuši interneta vēsturē

Tehnoloģiskais progress notiek ar lēcieniem un robežām, un uzbrucēji savukārt pieliek visas pūles, lai nestāvētu uz vietas un īstenotu arvien sarežģītākus un jaudīgākus uzbrukumus. Esam apkopojuši īsu aprakstu par interesantākajiem gadījumiem, kas iegājuši DDoS uzbrukumu vēsturē. Daži no tiem var šķist izplatīti pēc mūsdienu standartiem, taču tajā laikā, kad tie notika, tie bija ļoti liela mēroga uzbrukumi.

Ping Of Dead. Uzbrukuma metode, kuras pamatā ir ping komandas izmantošana. Šis uzbrukums ieguva popularitāti 90. gados nepilnīgā tīkla aprīkojuma dēļ. Uzbrukuma būtība ir nosūtīt vienu ping pieprasījumu tīkla mezglam, savukārt paketes pamattekstā ir nevis standarta 64 baiti, bet 65535 baiti. Saņemot šādu paketi, iekārtas tīkla steks pārpildījās un izraisīja pakalpojuma atteikumu.

Uzbrukums, kas ietekmē interneta stabilitāti. 2013. gadā Spamhaus kļuva par 280 Gbps uzbrukuma upuri. Interesantākais ir tas, ka uzbrukumam hakeri izmantoja DNS serverus no interneta, kas savukārt bija ļoti noslogoti ar lielu pieprasījumu skaitu. Tajā dienā miljoniem lietotāju sūdzējās par lēnu lapu ielādi pakalpojuma pārslodzes dēļ.

Uzbrukuma ieraksts ar trafiku virs 1 Tb/s. 2016. gadā hakeri mēģināja mums uzbrukt ar pakešu uzbrukumu ar ātrumu 360 Mps un 1 Tbps. Šis skaitlis ir kļuvis par rekordu visā interneta pastāvēšanas laikā. Bet pat pie šāda uzbrukuma mēs pretojāmies un tīkla slodze tikai nedaudz ierobežoja tīkla aprīkojuma brīvos resursus.

Uzbrukumu raksturojums mūsdienās

Izņemot pīķa uzbrukumus, mēs varam teikt, ka uzbrukumu spēks katru gadu pieaug vairāk nekā 3-4 reizes. Uzbrucēju ģeogrāfija gadu no gada mainās tikai daļēji, jo tas ir saistīts ar maksimālo datoru skaitu konkrēta valsts... Kā redzams mūsu speciālistu sagatavotajā 2016. gada ceturkšņa pārskatā, Krievija, ASV un Ķīna ir rekordzeme botu skaita ziņā.

Kādi ir DDoS uzbrukumu veidi?

Šobrīd uzbrukumu veidus var iedalīt 3 klasēs:

Kanālu pārplūdes uzbrukumi

Šis uzbrukuma veids ietver un;

Uzbrukumi, kas izmanto tīkla protokolu steka ievainojamības

Populārākie un interesantākie šāda veida uzbrukumi ir / uzbrukums,

Kāpēc izvēlēties mūs? Mūsu aprīkojums atrodas galvenajos datu centros visā pasaulē un spēj atvairīt uzbrukumus līdz 300 Gbps vai 360 miljoniem pakešu sekundē. Esam arī organizējuši satura piegādes tīklu () un nestandarta uzbrukuma vai ārkārtas situāciju gadījumā dežurē inženieru personāls. Tāpēc, nonākot mūsu aizsardzībā, jūs varat būt pārliecināti, ka jūsu resurss ir pieejams 24/7. Mums uzticas: REG.RU, Argumenty i Fakty, WebMoney, Krievijas radio holdinga kompānija GPM un citas korporācijas.

Izmantojot trafika analīzi vai iestatot maršrutēšanas noteikumus, varat ieviest aizsardzību tikai pret nelielu skaitu uzbrukumu. Ir dotas metodes aizsardzībai pret dažiem uzbrukumiem.

Jums nav jāpasūta DDoS uzbrukums. Maksājiet hakeriem un padomājiet par savu konkurentu paniku. Vispirms no direktora krēsla, bet pēc tam no cietuma gultas.

Paskaidrosim, kāpēc vēršanās pie hakeriem ir pēdējais, kas godīgam uzņēmējam jādara un kā tas apdraud.

Kā veikt DDoS uzbrukumupat skolnieks zina

Mūsdienās ikvienam ir pieejami rīki DDoS uzbrukumu organizēšanai. Iesācēju hakeru ienākšanas barjera ir zema. Tāpēc īsu, bet spēcīgu uzbrukumu īpatsvars Krievijas vietnēm palielinājies. Šķiet, ka hakeru grupas tikai praktizē prasmes.

Ilustratīvs gadījums. 2014. gadā Izglītības portāls Tatarstānas Republika ir piedzīvojis DDoS uzbrukumus. No pirmā acu uzmetiena nav jēgas uzbrukt: šī nav komerciāla organizācija un no tās nav ko prasīt. Portāls nodrošina atzīmes, stundu grafikus un tā tālāk. Vairāk ne. Kaspersky Lab eksperti atrada grupu Vkontakte, kurā diskutēja Tatarstānas studenti un skolēni kā veikt DDoS uzbrukumu.

Jauno cīnītāju kopiena ar Tatarstānas Republikas sistēmu

Atvasinātie vaicājumi no "kā veikt DDoS uzbrukumu Tatarstānai" noveda kiberdrošības ekspertus pie interesanta paziņojuma. Izpildītāji tika ātri atrasti, un viņiem tas bija jādara maksāt zaudējumus.

Agrāk viņi izplēsa dienasgrāmatu lapas, bet tagad uzlauž vietnes

DDoS uzbrukumu vienkāršības dēļ tos uzņem iesācēji bez morāles principiem un izpratnes par savām iespējām. Viņi var arī tālākpārdot klientu datus. DDoS uzbrucēju atjaunošana ir globāla tendence.

2017. gada pavasara cietumsods saņēma britu students. Kad viņam bija 16 gadu, viņš radīja programma DDoS uzbrukumiem Titanium Stresser. Brits no tā pārdošanas nopelnīja 400 tūkstošus sterliņu mārciņu (29 miljonus rubļu). Ar šīs DDoS programmas palīdzību tika veikti 2 miljoni uzbrukumu 650 tūkstošiem lietotāju visā pasaulē.

Pusaudži izrādījās lielo DDoS grupu Lizard Squad un PoodleCorp dalībnieki. Jaunie amerikāņi ir izgudrojuši savu DDoS programmas, bet izmantoja tās, lai uzbruktu spēļu serveriem, lai iegūtu priekšrocības tiešsaistes spēlēs. Tātad viņi tos atrada.

Vai uzņēmuma reputāciju uzticēt vakardienas skolēniem, katrs izlemj pats.

Sods parDDoS programmasKrievijā

Kā veikt DDoS uzbrukumuinteresē uzņēmēji, kuri nevēlas spēlēt pēc konkursa noteikumiem. Tie ir Krievijas Iekšlietu ministrijas nodaļas "K" darbinieki. Viņi noķer izpildītājus.

Krievijas tiesību akti paredz sodu par kibernoziegumiem. Pamatojoties uz iedibināto praksi, uz DDoS uzbrukuma dalībniekiem var attiekties šādi panti.

Klienti.Viņu darbības parasti ietilpst- nelikumīga piekļuve likumīgi aizsargātiem datora informācija.

Sods:brīvības atņemšana uz laiku līdz septiņiem gadiem vai naudas sods līdz 500 tūkstošiem rubļu.

Piemērs... Kurganas pilsētas administrācijas Informācijas tehniskās aizsardzības departamenta darbinieks tika notiesāts par šo pantu. Viņš izstrādāja daudzfunkcionālo Meta programmu. Ar tās palīdzību uzbrucējs savāca personas datus par 1,3 miljoniem reģiona iedzīvotāju. Pēc tam viņš pārdeva bankām un inkasācijas aģentūrām. Hakeris saņēma divu gadu cietumsodu.

Izpildītāji.Kā likums, viņi tiek sodīti ar Krievijas Federācijas Kriminālkodeksa 273. pants - ļaunprātīgu datorprogrammu izveide, izmantošana un izplatīšana.

Sods.Ieslodzījums līdz septiņiem gadiem ar naudas sodu līdz 200 tūkstošiem rubļu.

Piemērs.19 gadus vecs students no Toljati saņēma 2,5 gadu pārbaudes laiku un naudas sodu 12 miljonu rubļu apmērā. Izmantojot programmas DDoS uzbrukumiem, ko viņš mēģināja samazināt informācijas resursi un banku tīmekļa vietnes. Pēc uzbrukuma students izspieda naudu.

Neuzmanīgi lietotāji.Par drošības noteikumu neievērošanu datu uzglabāšanas laikā tiek sodīts ar Krievijas Federācijas Kriminālkodeksa 274. pants - datorinformācijas un informācijas un telekomunikāciju tīklu uzglabāšanas, apstrādes vai pārraides darbības noteikumu pārkāpums.

Sods:brīvības atņemšana uz laiku līdz pieciem gadiem vai naudas sods līdz 500 tūkstošiem rubļu.

Piemērs.Ja, piekļūstot informācijai, jebkādā veidā tika nozagta nauda, raksts tiks pārkvalificēts kā krāpšana datorinformācijas jomā (). Tātad divus gadus soda kolonijā ieguva Urālu hakerus, kuri ieguva piekļuvi banku serveriem.

Uzbrukumi medijiem.Ja DDoS uzbrukumi ir vērsti uz žurnālistu tiesību pārkāpšanu, darbības ir pakļautas - žurnālista likumīgas profesionālās darbības traucēšana.

Sods:brīvības atņemšana uz laiku līdz sešiem gadiem vai naudas sods līdz 800 tūkstošiem rubļu.

Piemērs.Šis raksts bieži tiek pārklasificēts uz smagākiem. Kā veikt DDoS uzbrukumu zināja tos, kas uzbruka Novaja Gazeta, Eho Moskvi un Bolshoi Gorod. Arī reģionālās publikācijas kļūst par hakeru upuriem.

Krievijā bargs sods par lietošanu DDoS programmas ... Anonimitāte no Office "K" jūs neglābs.

Programmas DDoS uzbrukumiem

Pēc ekspertu domām, 2000 robotprogrammatūras ir pietiekami, lai uzbruktu vidējai vietnei. DDoS uzbrukuma izmaksas sākas no 20 $ (1100 RUB). Uzbrukuma kanālu skaits un darbības laiks tiek apspriests individuāli. Ir arī izspiešanas.

Pienācīgs hakeris pirms uzbrukuma veiks iespiešanās pārbaudi. Militāristi šo metodi nodēvētu par "spēka izlūkošanu". Iespiešanās testa būtība ir neliels kontrolēts uzbrukums, lai noskaidrotu vietnes aizsardzības resursus.

Interesants fakts.Kā veikt DDoS uzbrukumudaudzi cilvēki zina, bet hakeru spēku nosaka robottīkls. Noziedznieki bieži viens otram nozog piekļuves atslēgas "armijām" un pēc tam pārdod tās tālāk. Labi zināms triks ir "ielikt" wi-fi, lai tas piespiedu kārtā pārstartētu un atgrieztos pamata iestatījumos. Šajā stāvoklī parole ir standarta. Tad uzbrucēji iegūst piekļuvi visai organizācijas datplūsmai.

Jaunākā hakeru tendence ir viedierīču uzlaušana, lai tajās instalētu kriptovalūtas kalnračus. Šīs darbības var kvalificēt saskaņā ar lietošanas klauzulu ļaunprogrammatūra(Krievijas Federācijas Kriminālkodeksa 273. pants). Tātad FSB virsnieki aizturēts Misijas vadības centra sistēmas administrators. Viņš uzstādīja kalnračus uz darba aprīkojuma un bagātināja sevi. Uzbrucējs tika aprēķināts pēc strāvas pārspriegumiem.

Hakeri veiks DDoS uzbrukumu konkurentam. Tad viņi var piekļūt tā skaitļošanas jaudai un iegūt vienu vai divus bitkoīnus. Tikai šie ienākumi klientam nenonāks.