Uzbrukums, kura laikā lietotāji nevar piekļūt citiem resursiem, tiek saukti par DDOS uzbrukumu vai "netrāpšanu" problēmu. Galvenā iezīme šādu hakeru uzbrukumiem ir vienlaicīgi pieprasījumi no daudziem datoriem visā pasaulē, un tie ir vērsti galvenokārt uz serveriem labi aizsargājamo uzņēmumu vai valsts organizāciju, retāk - par atsevišķiem nekomerciāliem resursiem.

Inficētais dators kļūst par "zombiju" un hakeru līdzību, izmantojot vairākus simtus, un pēc tam desmitiem tūkstošu šādu "zombiju" izraisa resursu mazspēju (atteikums uzturēt).

DDOS uzbrukuma iemesli var būt daudz. Mēģināsim apzīmēt populārāko, un tajā pašā laikā atbildēs uz jautājumiem: "DDOS uzbrukums - kas tas ir, kā pasargāt sevi, kādas ir tās sekas un kādi nozīmē, ka tas notiek?"

Konkurence

Internets jau sen ir bijis biznesa ideju avots, lielo projektu īstenošana un citi veidi, kā nopelnīt ļoti diezgan lielu naudu, tāpēc DDOS uzbrukums var tikt pasūtīts. Tas ir, ja organizācija vēlas noņemt to konkurenta gadījumā, tad tas ir tikai sazināties ar Khakura (vai uz grupu, piemēram) ar vienkāršu uzdevumu - paralizēt nevēlamā uzņēmuma darbu, izmantojot interneta resursus (DDOS) uzbrukums serverim vai vietnei).

Atkarībā no konkrētiem mērķiem un uzdevumiem šis uzbrukums ir noteikts uz noteiktu laiku un izmantojot atbilstošu spēku.

Krāpšana

Diezgan bieži DDOS uzbrukums vietnei tiek organizēta pēc hakeru iniciatīvas, lai bloķētu sistēmu un piekļūtu personiskiem vai citiem svarīgiem avotiem. Pēc tam, kad uzbrucēji paralizē sistēmu, tie var prasīt zināmu naudas summu, lai atjaunotu uzbrukumu resursus.

Daudzi interneta uzņēmēji piekrīt pagarinātajiem apstākļiem, kas attaisno savas darbības ar dowstaries darbā un ar milzīgu zaudējumu saņemšanu - ir vieglāk maksāt nelielu summu kā krāpšanas cilvēks, nevis zaudēt ievērojamu peļņu par katru dīkstāves dienu.

Izklaide

Daudzi lietotāji ir tikai zinātkāri vai jautrības labad interesē: "DDOS uzbrukums - kas tas ir un kā to darīt?" Tāpēc bieži vien ir gadījumi, kad iesācējs iebrucēji labad jautri un paraugi organizē šādus uzbrukumus nejaušiem resursiem.

Kopā ar iemesliem DDOS uzbrukumiem ir savas klasifikācijas pazīmes.

1. Joslas platums. Šodien gandrīz katra datora vieta ir aprīkota vai vietējais tīklsVai vienkārši savienots ar internetu. Tādēļ bieži vien tīkla plūdi bieži vien gadījumi ir liels skaits pieprasījumu ar nepareizu izveidotu un bezjēdzīgu sistēmu uz konkrētiem resursiem vai iekārtām, lai vēlāk noraidītu vai neveiksmi. cietie diski, atmiņa, uc).
2. Izplūdes sistēma. Šāds DDOS uzbrukums SAP serverim tiek veikta uztveršanai fiziskā atmiņa, procesora laiks un citi sistēmas resursi, jo trūkst uzbrukuma objekts vienkārši nav iespējams pilnībā strādāt.
3. Dzesēšana. Bezgalīgs datu tests un citi cikli, kas darbojas "aplis", piespiediet objektu tērēt daudz resursu, tādējādi ņemot atmiņu uz pilnu izsmelšanu.
4. Viltus uzbrukumi. Šāda organizācija ir vērsta uz nepatiesu aizsardzības sistēmu reakciju, kas galu galā noved pie dažu resursu bloķēšanas.
5. HTTP protokols. Hackers sūta vardarbīgas HTTP paketes ar īpašu šifrēšanu, resurss, protams, neredz, ka DDOS uzbrukums tiek organizēts par to, programma serverim, veicot savu darbu, attiecas uz reaģēšanas paketēm daudz lielāku jaudu, tādējādi ņemot joslas platumu cietušā, kas atkal noved pie pakalpojumu neveiksmes.
6. Smourf uzbrukums. Šī ir viena no visbīstamākajām sugām. Hacker caur apraides kanālu nosūta cietušo viltus ICMP paketi, kur cietušā adresi aizstāj ar uzbrucēja adresi, un visi mezgli sāk nosūtīt atbildi uz Ping pieprasījumu. Šis DDOS uzbrukums ir programma, kas vērsta uz lielā tīkla izmantošanu, I.E. Pieprasījums, kas apstrādāts ar 100 datoriem, būs 100 reizes pastiprināta.
7. Udp-plūdi. Šis uzbrukums ir kaut kas līdzīgs iepriekšējam, bet ICMP iepakojumu vietā iebrucējiem izmanto UDP paketes. Šīs metodes būtība ir aizstāt cietušā IP adresi hacker adresi un pilnībā lejupielādēt joslas platumu, kas arī novedīs pie sistēmas kļūmes.
8. Plūdi. Uzbrucēji cenšas vienlaicīgi vadīt lielu skaitu TCP savienojumu, izmantojot SYN kanālu ar nepareizu vai nav atļauta reversā adrese. Pēc vairākiem šādiem mēģinājumiem visvairāk operētājsistēmas Rindā, problēma savienojums ir iestatīts un tikai pēc enona skaita mēģinājumu slēgt to. SYN kanālu plūsma ir diezgan liela, un drīz pēc dažādiem šādiem mēģinājumiem cietušā pamatā atsakās atvērt jebkuru jaunu savienojumu, bloķējot visu tīkla darbību.
9. "Smagie iepakojumi". Šī suga sniedz atbildi uz jautājumu: "Kas ir DDOS-uzbrukuma serveris?" Hackers sūtīt paketes uz lietotāja serveri, bet piesātinājums joslas platuma nenotiek, darbība ir vērsta tikai uz procesora laiku. Rezultātā šādas paketes noved pie neveiksmes sistēmā, un, savukārt, to resursiem.
10. Log faili. Ja kotācijas un rotācijas sistēmai ir tukša maiss, uzbrucēji var nosūtīt lielu iepakojumu apjomu, tādējādi aizņem visu brīvo vietu servera cietajos numuros.
11. Programmas kods. Hackers ar plašu pieredzi var pilnībā izpētīt cietušā servera struktūru un uzsākt īpašus algoritmus (DDOS uzbrukums - Izskaidrot programmu). Šādi uzbrukumi galvenokārt ir vērsti uz labi aizsargājamiem komerciāliem uzņēmumiem un dažādu sfēru un reģionu organizācijām. Uzbrucēji atrod stieņus programmas kodā un uzsākt nederīgus norādījumus vai citus ārkārtas algoritmus, kas noved pie sistēmas avārijas apturēšanas vai pakalpojuma.

DDOS uzbrukums: kas tas ir un kā aizsargāt

DDOS-uzbrukuma aizsardzības metodes ir daudz. Un visi no tiem var iedalīt četrās daļās: pasīvā, aktīva, reakcionārs un preventīvs. Ko mēs nākamāk runāt.

Brīdinājums

Šeit jums ir nepieciešams, lai novērstu tieši iemeslus paši, kas varētu izraisīt DDOS uzbrukumu. Šo veidu var attiecināt uz kādu personisku naidīgumu, juridiskās domstarpības, konkurenci un citiem faktoriem, kas izraisa "palielinātu" uzmanību uz jums, jūsu biznesu, utt

Ja savlaicīgi reaģēt uz šiem faktoriem un veikt atbilstošus secinājumus, tad var izvairīties no daudzām nepatīkamām situācijām. Šo metodi drīzāk var attiecināt uz problēmām nekā jautājuma tehniskajai pusei.

Atbildes pasākumi

Ja uzbrukumi jūsu resursiem turpinās, ir nepieciešams atrast jūsu problēmu avotu - klientu vai mākslinieku, izmantojot gan tiesisko un tehnisko iedarbību. Daži uzņēmumi sniedz pakalpojumus, lai atrastu iebrucējus tehniskā veidā. Pamatojoties uz speciālistu kvalifikāciju, kas nodarbojas ar šo jautājumu, ne tikai hakeris, kas izmanto DDOS uzbrukumu, bet arī tieši klientam.

Programmatūras aizsardzība

Daži aparatūras un programmatūras ražotāji kopā ar saviem produktiem var piedāvāt diezgan daudz efektīvu risinājumu, un DDOS uzbrukums vietnei tiks pārtraukta, barojot. Atsevišķs neliels serveris, kas paredzēts mazo un vidējo DDoS uzbrukumu novēršanai, var būt tehniskais aizstāvis.

Šis lēmums ir ideāls maziem un vidējiem uzņēmumiem. Lielākiem uzņēmumiem, uzņēmumiem un valsts aģentūrām, ir veseli aparatūras kompleksi, lai apkarotu DDOS uzbrukumus, kas kopā ar augstu cenu, ir lieliskas aizsardzības īpašības.

Filtrēšana

Ienākošā satiksmes bloķēšana un rūpīga filtrēšana ļaus ne tikai samazināt uzbrukuma iespējamību. Dažos gadījumos DDOS uzbrukums serverim var pilnībā izslēgt.

Jūs varat izvēlēties divus galvenos veidus, kā filtrēt satiksmi - ugunsmūri un pilnu maršrutēšanu sarakstos.

Filtrēšana, izmantojot sarakstus (ACL) ļauj samazināt sekundāros protokolus, netraucējot TCP darbu un nesamazinot piekļuves ātrumu aizsargātajam resursam. Tomēr, ja hakeri izmanto botnets vai augstas frekvences pieprasījumiT. Šī metode Tas būs neefektīvs.

Tas ir daudz labāk, lai aizsargātu pret DDoS uzbrukumiem, bet to vienīgais mīnuss ir tāds, ka tie ir paredzēti tikai privātiem un bezpeļņas tīkliem.

Spogulis

Šīs metodes būtība ir novirzīt visu ienākošo uzbrucēja satiksmi atpakaļ. To var izdarīt, kam ir spēcīgi serveri un kompetenti speciālisti klātbūtnē, kas ne tikai novirzīs satiksmi, bet varēs tikt galā ar uzbrucēja aprīkojumu.

Metode nav piemērota, ja ir kļūdas sistēmas pakalpojumos, programmu kodi un citi tīkla lietojumprogrammas.

Meklēt ievainojamību

Šāda veida aizsardzības mērķis ir labot ekspluatāciju, traucējummeklēšanas kļūdas tīmekļa lietojumprogrammas un sistēmās, kā arī citi pakalpojumi, kas atbild par tīkla trafiku. Metode ir bezjēdzīga pret plūdiem uzbrukumiem, kas ir vērsti uz neaizsargātības datiem.

Mūsdienu resursi

100% aizsardzība garantē šo metodi. Bet tas ļauj efektīvāk veikt citus pasākumus (vai sarežģītus), lai novērstu DDOS uzbrukumus.

Sistēmu un resursu sadale

Resursu dublēšanās un sistēmu izplatīšana ļaus lietotājiem strādāt ar jūsu datiem, pat ja šajā brīdī DDOS uzbrukums tiek veikts jūsu serverī. Lai izplatītu, jūs varat izmantot dažādus serveri vai tīkla iekārtas, un ir ieteicams arī dalīties pakalpojumus fiziski atšķirīgi dažādās dublikātu sistēmās (datumu centros).

Šāda aizsardzības metode ir visefektīvākā šodien, ja tika izveidots pareizais arhitektūras dizains.

Izvairīšanās

Šīs metodes galvenā iezīme ir uzbruka objekta (domēna vārda vai IP adreses) izeja un atdalīšana, ti, visi darba resursi tajā pašā vietā ir jāsadala un jānovieto trešo pušu tīkla adresēs vai pat teritorijā citu valsti. Tas ļaus jums izdzīvot jebkuru uzbrukumu un saglabāt iekšējo IT struktūru.

DDOS-uzbrukuma aizsardzības pakalpojumi

Pēc tam, kad stāsta visu par šādu uzbrukumu, piemēram, DDOS uzbrukums (kas tas ir, un kā rīkoties ar to), mēs beidzot varam dot vienu labu padomu. Daudzas lielas organizācijas piedāvā savus pakalpojumus, lai novērstu un novērstu šādus uzbrukumus. Galvenokārt šādi uzņēmumi izmanto virkni pasākumu un dažādiem mehānismiem, kas ļauj jums aizsargāt savu biznesu no vairuma DDOS uzbrukumiem. Eksperti un cienītāji strādā tur, tāpēc, ja jūsu resurss esat dārgs, iespēja ir optimāla (kaut), ir apelācijas par vienu no šādiem uzņēmumiem.

Kā veikt DDOS uzbrukumu ar savām rokām

Tas ir informēts, tas nozīmē bruņotu - pareizo principu. Bet atcerieties, ka DDOS uzbrukumu tīša organizācija ir tikai personu grupa - noziedzīgs nodarījums, tāpēc šis materiāls tiek nodrošināts tikai iepazīstināšanai.

Amerikāņu IT draudu profilakses darbinieki ir izstrādājuši programmu, lai pārbaudītu servera slodzes stabilitāti un DDOS-uzbrukumu iespēju uzbrucējiem ar turpmāku šī uzbrukuma novēršanu.

Protams, "karstie" prāti izrādījās šo ieroci pret pašiem izstrādātājiem un pret to, ko viņi cīnījās. Produkta koda nosaukums - Loic. Šī programma ir brīva piekļuve, un, principā, nav aizliegts ar likumu.

Programmas saskarne un funkcionalitāte ir diezgan vienkārša, tā var izmantot ikvienu, kas interesējas par DDOS uzbrukumu.

Kā darīt visu pats? Interfeisa insultu, tas ir pietiekami, lai ievadītu IP upurus, pēc tam iestatīt TCP un UDP plūsmas un pieprasījumu skaitu. Voila - pēc lolotās pogas nospiešanas uzbrukums sākās!

Jebkuri nopietni resursi, protams, netiks cieš no šīs programmatūras, bet mazām var rasties dažas problēmas.

QRator Labs, kas specializējas DDOS uzbrukumu novēršanas un piekļuves interneta resursiem, ierakstīja ātrgaitas DDOS uzbrukumus lielākajiem tīmekļa resursiem, izmantojot Memcache bāzes pastiprināšanas metodes (programmatūra, kas īsteno datu kešatmiņas pakalpojumu brīvpiekļuves atmiņa Pamatojoties uz hash tabulu).

No 23. februāra līdz 27, 2018, vilnis Memcache tika ievietots visā Eiropā pastiprināti DDOS uzbrukumiem. Šāda uzbrukuma tehnika ir uzklausīt UDP satiksmes uzbrucējus, uz kuriem attiecas noklusējuma memcache parametru, tas ir, UDP plūdi faktiski tiek izmantots - nodot viltotu UDP pakešu komplektu uz laiku no plaša IP klāsta adreses.

Memcache Drošības problēmas ir pazīstamas vismaz kopš 2014. gada, tomēr 2018. gadā šī neaizsargātība izpaužas īpaši spilgti: naktī 25-26 februārī QRator Labs speciālisti ir novērojuši virkni Memcache amplifētu DDOS uzbrukumiem visā internetā, tostarp uzbrukumiem Krievijas lielākie tīkla resursi.

2017. gadā pētnieku grupa no Ķīnas OKEE komandas runāja par iespēju organizēt šādus uzbrukumus, norādot uz to potenciāli destruktīvo spēku.

Pēdējo dienu laikā daudzi avoti apstiprināja faktu uzbrukumu pastiprinātas atbildes no memcache resursiem, ar uzbrukumiem no DNS un NTP. Šo viltoto uzbrukumu avoti bija galvenais OVH pakalpojumu sniedzējs un liels skaits mazākiem interneta pakalpojumu sniedzējiem un hosters.

Viens no uzņēmuma QRator Labs klientiem - maksājumu sistēma Qiwi apstiprina faktu, ka veiksmīgi neitralizēts uzbrukums 480 Gbps joslas / s UDP satiksmes uz saviem resursiem no apdraudētām atmiņas veida pastiprinātājiem.

"Mūsdienu metodes DDOS uzbrukumu ieviešanai nav stāvēt. Arvien mēs novēršam jaunu "Broys" rašanos interneta infrastruktūrā, ko uzbrucēji veiksmīgi izmanto, lai īstenotu uzbrukumus. Uzbrukumi, izmantojot MemCache, kura ātrums sasniedza vairākus simtus GB / s, tika apstiprināti, - komentāri par ģenerāldirektoru un dibinātāju QRator Labs Aleksandra Liaminu. - Neaizsargātas memcache resursi internetā milzīga summa, un mēs stingri iesakām tehniskos speciālistus veikt pareizu konfigurāciju Memcache, neaizmirstot par noklusējuma iekārtām. Tas palīdzēs izvairīties no visas UDP datplūsmas uzskaites un samazināt DDOS uzbrukumu iespējamību. "

Par QRator Labs

QRator Labs - numur viens DDOS countering Krievijā (saskaņā ar IDC Krievijas Anti-DDOS pakalpojumu tirgus 2016-2020 prognozes un 2015 analīze). Uzņēmums tika dibināts 2009. gadā un sniedz pakalpojumus, lai novērstu DDOS uzbrukumus kompleksā ar WAF (Web lietojumprogrammu ugunsmūra) risinājumiem, ko organizē Wallarm partneru tehnoloģijas. Lai efektīvi cīnītos pret DDOS uzbrukumiem, QRator Labs izmanto QRator.Radar pašas globālās uzraudzības pakalpojumu datus. QRator filtrēšanas tīkls ir veidots uz mezgliem, kas atrodas ASV, Krievijā, ES un Āzijā, kas kopā ar saviem filtrēšanas algoritmiem ir uzņēmuma konkurences priekšrocība.

Šī organizācija papildus domēna vārdu reģistrācijai Zone.TR nodrošina arī galveno saikni ar Turcijas universitātēm. Uzņēma Anonīmu apsūdzību, kas apsūdzēja Turcijas vadību ISIL atbalstam.

Pirmās DDO pazīmes tika izpaužas 14. decembra rītā, pieci Nic.TR serveri, kas tika nodoti ar atkritumu plūsmas uzbrukumu līdz 40 GB / s. Problēma ietekmēja arī nogatavojušās koordinācijas centru, nodrošinot alternatīvu NIC.TR infrastruktūru. Ripe pārstāvji atzīmēja, ka uzbrukums tika mainīts tā, lai apietu nogatavojušās aizsardzību.

Liela mēroga DDOS uzbrukumi kļūst par visvairāk efektīvi Notīriet Web pakalpojumu darbu - uzbrukumu izmaksas nepārtraukti samazinās, kas ļauj jums palielināt jaudu: tikai divos gados DDOS uzbrukuma vidējā jauda ir pieaudzis četri un ir 8 GB / s. Attiecībā uz vidējiem uzbrukuma vērtībām, Turcijas nacionālā domēna zona izskatās augstākā, bet eksperti uzsver, ka 400 GB / s līmeņa DDoS uzbrukumi drīz kļūs par normu.

Turcijas uzbrukuma unikalitāte ir tāda, ka uzbrucēji izvēlējās pareizo mērķi: koncentrējoties uz salīdzinoši nelielu skaitu IP adreses, viņi varēja praktiski neizdoties no visas valsts infrastruktūru, izmantojot tikai 40 gigabit uzbrukumu.

Turcijas nacionālais reaģēšanas centrs cyberincidents bloķēja visu satiksmi, kas ienāk NIC.TR serveros no citām valstīm, tāpēc visi 400 tūkstoši turku vietņu ir kļuvuši nepieejami, un visi ziņojumi e-pasta adrese atgriezās sūtītājiem. Vēlāk Centrs nolēma mainīt taktiku, veicot selektīvu aizdomīgu IP adreses bloķēšanu. DNS serveri domēnu jomā .tr ir pārkonfigurēti, lai izplatītu pieprasījumus starp valsts un privātajiem serveriem, kas palīdzēja Turcijas interneta pakalpojumu sniedzējiem Superonline un Vodafone.

Uzbruktie domēni atgriezās tiešsaistē tajā pašā dienā, bet daudzas vietnes un pasta pakalpojumi Vēl dažas dienas strādāja ar pārtraukumiem. Ne tikai vietējie uzņēmumi un valsts organizācijas tika ievainoti, bet arī daudzi valstu tīmekļa resursi, kas izvēlas domēna nosaukumu zonā.TR; Kopumā tas ir aptuveni 400 tūkstoši tīmekļa vietņu, no kuriem 75% ir korporatīvi. Turcijas nacionālais domēns izmanto arī izglītības iestādes, pašvaldības un militāro.

Lai gan "anonīmi" nesniedza paziņojumu, daudzi vinili Krievu DDOS uzbrukumā - sakarā ar Turcijas un Krievijas saspringtajām attiecībām. Vienā reizē krievu hakeri līdzīgiem iemesliem tika aizdomas par iesaistīšanos liela mēroga kiberuzbrukumos Igaunijā (2007), Gruzija (2008) un Ukraina (2014). Daži eksperti konstatēja Turcijas DDOS reakciju uz krieviem par DDOS uzbrukumu Turcijas cybergroups Krievijas ziņu vietnē "Satelīts".

Anonīma deklarācija liega pamatu "Krievijas takas" hipotēzi. Khakctivisti arī draud uzbrukt Turcijas lidostām, bankām, valdības struktūru un militāro organizāciju serveriem, ja Turcija vairs nepārtrauc palīdzību Igil.

Nestabilā ekonomiskā situācija pēdējo divu gadu laikā izraisīja ievērojamu pieaugumu konkurences cīņā tirgū, kā rezultātā palielinājās DDOS uzbrukumu popularitāte - efektīva metode Ekonomisko kaitējumu piemērošanu.

2016. gadā vairākas reizes palielinājās DDOS uzbrukumu organizācijas komerciālo pasūtījumu skaits. Massive DDOS uzbrukumi pārslēdzas no punkta politiskās ietekmes, kā tas bija, piemēram, 2014. gadā, masveida biznesa segmentā. Uzbrucēju galvenais uzdevums ir pēc iespējas ātrāk un ar minimālām izmaksām, lai padarītu resursu nepieejamu, lai iegūtu naudu no konkurentiem, lai nodrošinātu, ka izspiešanas nosacījumi utt DDOS uzbrukumi tiek izmantoti vairāk un aktīvāk, kas stimulē meklēšanu arvien lieliem biznesa aizsardzības līdzekļiem.

Tajā pašā laikā uzbrukumu skaits turpina augt, pat neskatoties uz ievērojamiem panākumiem cīņā pret DDOS. Saskaņā ar QRator Labs, 2015. gadā DDoS uzbrukumu skaits palielinājās par 100%. Un tas nav pārsteidzoši, jo to izmaksas samazinājās līdz apmēram $ 5 stundā, un to ieviešanas rīki devās uz masveida melno tirgu. Mēs norādām vairākas izplatīto uzbrukumu pamata tendences, kuru mērķis ir atteikties saglabāt, kas tiek prognozēts tuvāko gadu laikā.

Uzbrukt UDP pastiprināšanai

Uzbrukumi, kas vērsti uz kanāla ietilpības izsmelšanu, ietver UDP amplifikāciju. Šādi incidenti bija visizplatītākie 2014. gadā un kļuva par spilgtu tendenci 2015. Tomēr to skaits jau ir sasniedzis savu maksimumu un pakāpeniski iet uz kritumu - resurss šādu uzbrukumu veikšanai ir ne tikai fināls, bet arī strauji samazinās.

Saskaņā ar pastiprinātāju ir paredzēts valsts UDP pakalpojums, kas darbojas bez autentifikācijas, kas nelielā vaicājumā var nosūtīt vairāk nekā lielāka atbilde. Uzbrukšana, šādu pieprasījumu nosūtīšana aizstāj savu IP adresi cietušā IP adresei. Rezultātā apgrieztā satiksme, daudz vairāk pārsniedza uzbrucēja kanāla joslas platumu, tiek novirzīts uz cietušā tīmekļa resursu. Par nederīgu dalību uzbrukumos, DNS, NTP-, SSDP un citos serveros tiek izmantoti.

Uzbrukumi tīmekļa lietojumprogrammām L7

Sakarā ar pastiprinātāju skaita samazināšanu priekšplānā atkal, uzbrukumu organizēšana tīmekļa lietojumprogrammās L7 līmenī, izmantojot klasiskās botneti. Kā jūs zināt, Botnet spēj veikt tīkla uzbrukumus tālvadības komandām, un inficēto datoru īpašnieki var nebūt aizdomās par to. Pakalpojuma "Trash" pieprasījumu pārslodzes rezultātā likumīgo lietotāju apelācijas sūdzībā nav atbildes bez atbildes vai atbildes prasa nelīdzenumu nekā daudz laika.

Šodien, botnets kļūst inteliģentākas. Organizējot atbilstošus uzbrukumus, tiek atbalstīta pilna pārlūkprogrammas kaudze tehnoloģija, tas ir, pilnīga pielāgotā datora emulācija, pārlūks, java skripts, kas strādā. Šādas metodes ļauj jums pilnīgi noslēpt uzbrukumus L7. Manuāli atšķirt lietotāja botu ir gandrīz neiespējami. Tas prasa sistēmas, kas izmanto mašīnu mācīšanās tehnoloģiju, pateicoties kura līmenis cīnās pret uzbrukumiem palielinās, mehānismi tiek uzlaboti, un precizitāte testēšanas pieaug.

BGP problēmas

2016. gadā parādījās jauna tendence - uzbrukumi tīkla infrastruktūrai, tostarp pamatojoties uz BGP ievainojamības izmantošanu. BGP maršrutēšanas protokola, kas balstās uz visu internetu, problēmas ir zināmas jau vairākus gadus, bet pēdējos gados tie arvien vairāk rada nopietnas negatīvas sekas.

Tīkla anomālijas, kas saistītas ar maršrutēšanu aizkavēšanās tīkla līmenī, var ietekmēt lielu skaitu saimniekiem, tīkliem un pat globālu savienojamību un interneta pieejamību. Visbiežāk raksturīgākās problēmas ir maršruta noplūde - maršruta "noplūde", kas rodas tā paziņojuma rezultātā nepareizā virzienā. Lai gan BGP ievainojamības reti tiek izmantoti tīši: šāda uzbrukuma organizēšanas izmaksas ir diezgan augstas, un incidenti galvenokārt notiek sakarā ar banālu kļūdām tīkla iestatījumos.

Tomēr pēdējos gados organizēto noziedzīgo grupu apjoms internetā ir ievērojami palielinājusies, tāpēc, saskaņā ar Qrator Labs, uzbrukumi, kas saistīti ar BGP problēmām, būs populāri jau tuvākajā nākotnē. Spilgts piemērs ir "nolaupīt" IP adreses (nolaupīšana) ar labi pazīstamu cybergroup hacking komandu, kas veikta saskaņā ar valsts pasūtījumu: Itālijas policija, kas nepieciešama, lai kontrolētu vairākus datorus, attiecībā uz īpašniekiem, kuru īpašnieki tika veikti izmeklēšanas pasākumi.

IncidentiTcp.

TCP / IP sistēmas tīkla kaudze ir vairākas problēmas, kas jau ir kārtējā gadā, būs īpaši akūta. Lai saglabātu aktīvās ātruma izaugsmi, interneta infrastruktūra ir pastāvīgi jāatjaunina. Fiziskās savienojuma ātrums ar internetu pieaug ik pēc pāris gadiem. 2000.gadu sākumā. Standarts bija 1 Gbit / s, šodien populārākais fiziskais interfeiss ir 10gbit / s. Tomēr masveida ieviešana jaunu standarta fizisko locītavu, 100 Gbit / s, kas rada problēmas ar novecojušu TCP / IP protokolu, kas nav paredzēts šādiem lieliem ātrumiem.

Piemēram, tas kļūst iespējama dažu minūšu laikā, lai izvēlētos TCP secības numuru - unikālu skaitlisko identifikatoru, kas ļauj (vai drīzāk atļaut) TCP / IP partneriem, lai veiktu savstarpēju autentifikāciju savienojuma un apmaiņas datu instalēšanas laikā , saglabājot to kārtību un integritāti. Pie ātruma 100 GB / s līnijas TCP servera žurnāla failus par atvērtā savienojumu un / vai nosūtītajiem datiem, tas nenodrošina, ka fiksētā IP adrese patiešām instalēta savienojumu un nosūta šos datus. Attiecīgi, tas atver iespēju organizēt jaunus klases uzbrukumus, un efektivitāte ugunsmūri var ievērojami samazināt.

TCP / IP ievainojamība piesaista daudzu pētnieku uzmanību. Viņi uzskata, ka 2016. gadā mēs dzirdēsim par "skaļu" uzbrukumiem, kas saistīti ar šo "caurumu" darbību.

Tuvumā nākotne

Šodien tehnoloģiju un draudu attīstība nenotiek par "klasisko" spirāli, jo sistēma nav slēgta - ir daudz ārējo faktoru. Tā rezultātā tiek iegūta spirāle ar paplašinošu amplitūdu - tas palielinās, pieaug uzbrukuma sarežģītība, un tehnoloģiju pārklājums ievērojami paplašinās. Mēs atzīmējam vairākus faktorus, kuriem ir nopietna ietekme uz sistēmas izstrādi.

Galvenie no tiem noteikti - migrācija uz jauno IPv6 Transporta protokolu. 2015. gada beigās IPv4 protokols tika atzīts par novecojušu, un IPv6 nāk uz priekšu, kas apvieno viņiem jaunus izaicinājumus: tagad katrai ierīcei ir IP adrese, un tie visi var tieši izveidot savienojumu viens ar otru. Jā, jauni ieteikumi parādās par to, kā gala ierīcēm vajadzētu strādāt, bet kā nozare tiks galā ar visu šo, jo īpaši telekomunikāciju operatoriem, masveida produktu segmentu un Ķīnas pārdevējiem, ir atklāts jautājums. IPv6 radikāli maina spēles noteikumus.

Vēl viens izaicinājums ir ievērojams mobilo sakaru tīklu pieaugums, to ātrums un "izturība". Ja mobilais botnet ir radījis problēmas, pirmkārt, pašas komunikācijas operators, tagad, kad 4G savienojums kļūst ātrāks nekā vadu internets, mobilie tīkli ar lielu skaitu ierīču skaitu, tostarp ķīniešu ražošanu, tiek pārveidotas par lielisku platformu DDOS un hakeru uzbrukumiem. Un problēmas rodas ne tikai telekomunikāciju operatorā, bet arī starp citiem tirgus dalībniekiem.

Nopietns drauds ir jaunā interneta pasaule lietām. Jauni uzbrukuma vektori parādās, jo milzīgs skaits ierīču un bezvadu sakaru tehnoloģiju izmantošana ir atvērti hakeriem patiesi neierobežotas perspektīvas. Visas ierīces, kas savienotas ar internetu, iespējams, var kļūt par iebrucēju infrastruktūras daļu un iesaistīties DDOS uzbrukumos.

Diemžēl visu veidu sadzīves tehnikas ražotāji, kas savienoti ar tīklu (tējkannas, televizori, automašīnas, multi-valūtas, skalas, "gudras" ligzdas utt.) Ne vienmēr nodrošina pienācīgu to aizsardzības līmeni. Bieži vien šādās ierīcēs tiek izmantotas vecākas populārās operētājsistēmu versijas, un pārdevēji nerūpējas par to regulāro atjauninājumu - nomaiņu uz versijām, kurās tiek novērstas ievainojamības. Un, ja ierīce ir populāra un plaši izmantota, hakeri nepalaidīs garām iespēju izmantot savas neaizsargātības.

IoT problēmu harbingers parādījās jau 2015. gadā saskaņā ar provizoriskiem datiem, pēdējais uzbrukums Blizzard Entertainment tika veikta, izmantojot IoT klases ierīces. Tika reģistrēts ļaunprātīgs kods, kas darbojas uz mūsdienu tējkannām un spuldzēm. Hakeru uzdevums vienkāršo mikroshēmojumus. Ne tik sen, lēts mikroshēmojums tika izlaists, kas paredzēts dažādām iekārtām, kas var "sazināties" ar internetu. Tādējādi uzbrucējiem nav nepieciešams Hack 100 tūkstoši pielāgotu programmaparatūru - tas ir pietiekami, lai "lauzt" vienu mikroshēmojumu un piekļūt visām ierīcēm, kas balstās uz to.

Tiek prognozēts, ka visi viedtālruņi, pamatojoties uz vecākiem android versijassastāv no vismaz viena botnet. Visas "Smart" ligzdas, ledusskapji un citi ierīces. Pēc pāris gadiem tas gaida tējkannas, radionas un multicuroku botnet. "Internets lietām" dos mums ne tikai ērtības un papildu iespējas, bet arī daudz problēmu. Kad lietām IoT būs daudz, un katrs PIN būs iespēja nosūtīt 10 baitus, jaunas drošības problēmas būs jāatrisina. Un tas ir jāsagatavo šodien.

Ieviešana

Nekavējoties veiciet atrunu, ka tad, kad es uzrakstīju šo pārskatu, es pirmo reizi koncentrējās uz auditoriju, demontāžu telekomunikāciju operatoru darbības specifiku un to datu pārraides tīklos. Šajā pantā ir izklāstīti pamatprincipi aizsardzībai pret DDOS uzbrukumiem, vēsturi savu attīstību pēdējo desmit gadu laikā, un situācija pašlaik ir.

Kas ir DDOS?

Iespējams, par to, ko DDOS uzbrukums ir, šodien zina, ja ne katrs "lietotājs", tad jebkurā gadījumā - katru "to". Bet daži vārdi ir jāsaka.

DDOS uzbrukumi (izplata pakalpojumu atteikumu - izplatīšanas cluction Clock Cluctions - tie ir uzbrukumi skaitļošanas sistēmām (tīkla resursi vai sakaru kanāli), kuras mērķis ir padarīt tos nepieejami likumīgiem lietotājiem. DDOS uzbrukumi vienlaicīgi nosūta uz noteiktu resursu lielu skaitu pieprasījumu no viena vai daudziem datoriem, kas atrodas internetā. Ja tūkstošiem, desmitiem tūkstošu vai miljoniem datoru tiks vienlaicīgi sāks nosūtīt pieprasījumus uz konkrētu serveri (vai tīkla pakalpojumu), tas nebūs vai nu paciest serveri, vai arī nav pietiekami daudz komunikācijas kanālu joslas platuma uz šo serveri. Abos gadījumos interneta lietotāji nevarēs piekļūt serverim uz uzbrukumu serverim vai pat visiem serveriem un citiem resursiem, kas savienoti ar bloķētu sakaru kanālu.

Dažas DDoS uzbrukumu iezīmes

Pret ikvienu un kādu mērķi ir DDOS uzbrukumi uzsākt?

DDOS uzbrukumus var palaist pret jebkuru resursu, kas iesniegts internetā. Lielākais kaitējums no DDOs uzbrukumiem saņem organizācijas, kuru bizness ir tieši saistīts ar internetu - bankas (nodrošinot internetbankas pakalpojumus), tiešsaistes iepirkšanās, iepirkšanās vietas, izsoles, kā arī citas darbības, aktivitāte un efektivitāte, kas būtiski ir atkarīga no pārstāvības internetā (ceļojumu airstrms, aviosabiedrības, iekārtu ražotāji un programmatūra, uc) DDOS uzbrukumi tiek regulāri uzsākti pret resursiem šādu milži no Pasaules IT nozare, piemēram, IBM, Cisco sistēmas, Microsoft un citi. Ir novērotas masveida DDOS uzbrukumi pret ebay.com, Amazon.com, daudzas slavenas bankas un organizācijas.

Ļoti bieži DDoS uzbrukumi tiek uzsākti pret politisko organizāciju, iestāžu vai atsevišķu pazīstamu personību tīmekļa pārstāvniecību. Daudzi cilvēki zina par masveida un ilgtermiņa DDOS uzbrukumiem, kas tika uzsākti pret Gruzijas prezidenta tīmekļa vietni Gruzijas-Ossetijas kara 2008. gadā (tīmekļa vietne nebija pieejama vairākus mēnešus kopš 2008. gada augusta) pret Igaunijas valdības serveriem (pavasarī 2007, laikā, kas saistīti ar bronzas karavīra pārcelšanu), par periodiskiem Ziemeļkorejas tīkla segmenta uzbrukumiem pret amerikāņu vietnēm.

DDOS uzbrukuma galvenie mērķi ir ieguvumi no ieguvumiem (tieša vai netieša) šantāža un izspiešana, vai politisko interešu vajāšana, situācijas atbrīvošana, atriebība.

Kādi ir palaišanas mehānismi DDOS uzbrukumi?

Populārākais un bīstamākais veids, kā uzsākt DDOS uzbrukumu, ir botnets (botnets) izmantošana. Botnet ir daudzi datori, kuros ir uzstādīti īpaši programmatūras grāmatzīmes (boti), tulkoti no angļu botnetiem ir botu tīkls. Botus parasti projektē hakeri individuāli katram Botnet, un ir galvenais mērķis nosūtīt pieprasījumus uz konkrētu interneta resursu komandu saņemta no Botnet Management Server - Botnet komandu un vadības serveri. Botnet kontrolieris pārvalda hakeri vai personu, kas iegādājās šo botnet no hakera un spēja palaist DDOS uzbrukumu. Boti attiecas uz internetu dažādos veidos, kā parasti - ar uzbrukumiem datoriem, kuriem ir neaizsargātie pakalpojumi, un instalējot programmatūras grāmatzīmes, vai arī maldinot lietotājus un piespiežot tos instalēt robotus zem vairākiem pakalpojumiem vai programmatūras, kas darbojas diezgan nekaitīgi vai pat noderīga funkcija. Botu izplatīšanas metodes ir daudz, regulāri tiek izgudroti jauni veidi.

Ja botnet ir pietiekami liels - desmitiem vai simtiem tūkstošu datoru - tad vienlaicīga nosūtīšana no visiem šiem datoriem pat diezgan likumīgus pieprasījumus noteiktā tīkla pakalpojuma virzienā (piemēram, tīmekļa pakalpojums konkrētā vietā) radīs izsmelšanu resursu vai paša pakalpojuma vai servera vai izsīkšanas kanālu iespējas. Jebkurā gadījumā pakalpojums netiks pieejams lietotājiem, un pakalpojuma īpašniekam radīs taisni, netiešus un reputācijas zaudējumus. Un, ja katrs no datoriem nosūta ne vienu pieprasījumu, un desmitiem, simtiem vai tūkstošiem pieprasījumu sekundē, tad ietekmes spēku uzbrukums palielinās daudzas reizes, kas ļauj informēt pat produktīvākos resursus vai sakaru kanālus.

Daži uzbrukumi tiek uzsākti vairāk "nekaitīgiem" veidiem. Piemēram, dažu forumu lietotāju flash mob, kas pēc vienošanās uzsāktu noteiktā laikā "ping" vai citus savus datorus uz konkrētu serveri. Vēl viens piemērs ir saites uz tīmekļa vietni populāros interneta resursus, kas izraisa lietotāja pieplūdumu mērķa serverī. Ja "viltus" saite (ārēji izskatās kā saite uz vienu resursu, un faktiski attiecas uz pilnīgi citu serveri) attiecas uz nelielu organizācijas tīmekļa vietni, bet tiek publicēta populāros serveros vai forumos, šāds uzbrukums var izraisīt nevēlamu vietu pieplūdumu apmeklētājiem uz šo vietni.. Pēdējo divu veidu uzbrukumi reti noved pie serveru pieejamības izbeigšanas par pienācīgi organizētām hostinga vietnēm, bet šādi piemēri bija un pat Krievijā 2009. gadā.

Vai palīdzēs tradicionāliem tehniskajiem aizsardzības līdzekļiem pret DDoS uzbrukumiem?

DDOS-uzbrukuma iezīme ir tā, ka tie sastāv no dažādiem vienlaicīgiem pieprasījumiem, no kuriem katrs individuāli "ir viegli", turklāt šie vaicājumi nosūta datorus (inficēti ar robotiem), kas var būt diezgan izplatīta, lai pieder visizplatītākais reāls vai potenciālie lietotāji no uzbruka pakalpojumu vai resursu. Tāpēc ir ļoti grūti noteikt, ka DDOS uzbrukums ir pareizi identificēts un filtrēts. Standarta sistēmas IDS / IPS klase (Ielaušanās atklāšanas / profilakses sistēma - tīkla uzbrukumu atklāšanas / profilakses sistēma) netiks atrasts šādos "nozieguma sastāva" vaicājumos, nesaprūka, ka tie ir daļa no uzbrukuma, ja vien tie veic kvalitatīvu satiksmes analīzi anomālijas. Un pat tad, ja viņi atrod, tad nevajadzīgie pieprasījumi arī nav tik vienkārši - standarta ugunsmūri un maršrutētāju filtra satiksme, pamatojoties uz labi definētiem piekļuves sarakstiem (kontroles noteikumi), un nezinu, kā "dinamiski" pielāgoties profilam konkrēts uzbrukums. Ugunsmūri var pielāgot satiksmes plūsmas, pamatojoties uz tādiem kritērijiem kā sūtītāja adreses. tīkla pakalpojumi, ostas un protokoli. Bet regulāri interneta lietotāji piedalās DDOS uzbrukumā, kas nosūta pieprasījumus visbiežāk protokoliem - nebūs tas pats komunikācijas operators, lai aizliegtu visu un visu? Tad viņš vienkārši pārtrauks sniegt sakaru pakalpojumus saviem abonentiem, un pārtrauks nodrošināt piekļuvi tīkla resursiem, ko apkalpo tās, kas, patiesībā, sasniedz iniciatoru uzbrukuma.

Daudzi speciālisti, iespējams, ir informēti par īpašu risinājumu esamību, lai aizsargātu pret DDoS uzbrukumiem, ko atklāj satiksmes anomālijas, veidojot satiksmes profilu un uzbrukuma profilu, kā arī turpmāko dinamiskās daudzpakāpju satiksmes filtrēšanas procesu. Un es arī runāšu par šiem lēmumiem šajā rakstā, bet nedaudz vēlāk. Un vispirms tiks aprakstīts par dažiem mazāk pazīstamiem, bet dažreiz diezgan efektīviem pasākumiem, kas var tikt pieņemti, lai nomāktu DDOS uzbrukumus ar esošajiem datu tīkla un tā administratoru līdzekļiem.

Aizsardzība pret DDOS uzbrukumiem Pieejamie līdzekļi

Ir diezgan daži mehānismi un "triki", kas ļauj kādos gadījumos, lai nomāktu DDOS uzbrukumus. Dažus var izmantot tikai tad, ja datu tīkls ir veidots uz konkrēta ražotāja aprīkojuma, vairāk vai mazāk universālāka.

Sāksim ar Cisco sistēmu ieteikumiem. Šī uzņēmuma speciālisti iesaka nodrošināt tīkla pamatu aizsardzību, lai aizsargātu tīkla pamatu aizsardzību, kas ietver tīkla administrēšanas līmeņa aizsardzību (kontroles plakni), tīkla pārvaldības līmenis (vadības plakne) un tīkla datu līmenis (datu plakne).

Vadības plaknes aizsardzība (vadības lidmašīna)

Termins "administrēšanas līmenis" aptver visu satiksmi, kas nodrošina kontroles vai uzraudzības maršrutētājus un citus tīkla iekārtas. Šī satiksme tiek nosūtīta uz maršrutētāju vai nāk no maršrutētāja. Šādas satiksmes piemēri ir telnet, ssh un http (s) sesijas, syslog ziņas, snmp-lads. Kopējā labākā prakse ietver:

Maksimālā drošības un uzraudzības protokolu drošība, šifrēšanas un autentifikācijas izmantošana:

• sNMP V3 protokols nodrošina aizsardzības līdzekļus, bet SNMP V1 praktiski nenodrošina, un SNMP V2 nodrošina tikai daļēji - noklusējuma kopienas vērtība vienmēr ir jāmaina;
• jāizmanto dažādas valsts un privātās sabiedrības vērtības;
• telnet protokols pārraida visus datus, tostarp lietotājvārdu un paroli, atklātā veidā (ja satiksme tiek pārtraukta, šo informāciju var viegli iegūt un izmantot), tā vietā ieteicams izmantot SSH V2 protokolu;
• līdzīgi, nevis HTTP, izmantojiet HTTPS piekļuves aprīkojumu; stingra aparatūras piekļuves kontrole, ieskaitot atbilstošu paroli, centralizētu autentifikāciju, autorizāciju un kontu (AAA modeli) un vietējo autentifikāciju rezervēšanas nolūkos;

Piekļuves lomu modeļa īstenošana;

Atļauto savienojumu kontrole avota adresē, izmantojot piekļuves kontroles sarakstus;

Atspējot neizmantotos pakalpojumus, no kuriem daudzi ir iespējoti pēc noklusējuma (vai viņi aizmirsa atslēgt pēc sistēmas diagnosticēšanas vai izveidošanas);

Iekārtu resursu izmantošanas uzraudzība.

Pēdējos divos punktos ir vērts uzturēties sīkāk.
Daži pakalpojumi, kas ir iespējoti pēc noklusējuma vai kas aizmirsa izslēgt pēc uzstādīšanas vai diagnosticēšanas iekārtas var izmantot ar iebrucējiem, lai apietu esošos drošības noteikumus. Šo pakalpojumu saraksts:

• Spilventiņš (pakešu montētājs / atdalītājs);

Protams, pirms izslēdzot šos pakalpojumus, jums ir rūpīgi jāanalizē jūsu tīkla nepieciešamības neesamība.

Ir vēlams uzraudzīt iekārtu resursu izmantošanu. Tas ļaus, pirmkārt, pamanīt pārslodzi atsevišķi elementi Networks un veikt pasākumus, lai novērstu negadījumus, un, otrkārt, atklāt DDOS uzbrukumus un anomālijas, ja to noteikšana nav paredzēta ar īpašiem līdzekļiem. Vismaz ieteicams uzraudzīt:

• procesoru iekraušana
• atmiņas lietošana
• maršrutētāju augšupielāde.

Uzraudzība var būt "manuāli" (periodiski izsekojot iekārtu stāvokli), bet labāk ir labāk, lai tas būtu labāk saistīts ar īpašām tīkla uzraudzības sistēmām vai uzraudzību informācijas drošība (Pēdējais attiecas uz Cisco Mars).

Kontroles plakne (kontroles plakne)

Tīkla pārvaldības līmenis ietver visu pakalpojumu satiksmi, kas nodrošina tīkla darbību un savienojamību atbilstoši norādītajai topoloģijai un parametriem. Satiksmes kontroles datplūsmas piemēri ir: Visa satiksme, kas radīta vai paredzēta maršrutēšanas procesoram (maršruta procesors - RR), ieskaitot visus maršrutēšanas protokolus dažos gadījumos - sSH protokoli un SNMP, kā arī ICMP. Jebkurš uzbrukums maršrutēšanas procesora darbībai, jo īpaši DDOS uzbrukumiem, var radīt būtiskas problēmas un pārtraukumus tīklā. Zemāk ir aprakstītas labākās prakses, lai aizsargātu kontroles līmeni.

Kontroles plaknes policija.

Tas ir izmantot QoS mehānismus (pakalpojumu kvalitāte - pakalpojuma kvalitāte), lai nodrošinātu augstāku prioritāti kontroles līmeņa kontroles līmenī nekā lietotāja satiksme (daļa no kuriem ir uzbrukumi). Tas nodrošinās darba protokolu un maršrutēšanas procesora darbu, tas ir, lai saglabātu tīkla topoloģiju un savienojamību, kā arī iepakojumu pareizu maršrutēšanu un pārslēgšanu.

IP saņem ACL

Šī funkcija ļauj filtrēt un kontrolēt maršrutētāju un maršrutēšanas procesoru.

• tas jau tiek piemērots tieši maršrutēšanas iekārtās pirms satiksmes sasniedz maršrutēšanas procesoru, nodrošinot "personalizētu" iekārtu aizsardzību;
• lieto pēc satiksmes pagājis parastās piekļuves kontroles sarakstus - ir pēdējais aizsardzības līmenis ceļā uz maršrutēšanas procesoru;
• attiecas uz visu satiksmi (un iekšējo un ārējo un tranzītu tīkla operatora tīklā).

Infrastruktūra ACL

Parasti piekļuve savām maršrutētāju iekārtu adresēm ir nepieciešama tikai tās tīkla operatoru tīkla saimniekiem, tomēr ir izņēmumi (piemēram, EBGP, GRE, IPv6 virs IPv4 un ICMP tuneļiem). Infrastruktūras piekļuves kontroles saraksti:

• parasti uzstāda uz robežas tīkla operatora tīklu ("pie ieejas tīklā");
• ir paredzēti, lai nepieļautu piekļuvi ārējiem saimniekiem uz operatora infrastruktūras adresi;
• nodrošināt netraucētu tranzīta satiksmi pāri operatora tīkla robežai;
• nodrošināt pamata aizsardzības mehānismus no neatļautas tīkla darbības, kas aprakstīta RFC 1918, RFC 3330, jo īpaši, spoofing aizsardzību (spoofing, izmantojot viltus avota IP adreses, lai slēptu, kad sākat uzbrukumu).

Kaimiņu autentifikācija.

Galvenais kaimiņu maršrutētāju autentifikācijas mērķis ir novērst uzbrukumus, atsaucoties uz viltotiem maršrutēšanas protokoliem, lai mainītu maršrutēšanu tīklā. Šādi uzbrukumi var novest pie neatļautas iekļūšanas tīklā, neatļautu lietošanu. tīkla resursi, kā arī uz to, ka uzbrucējs uztver satiksmi, lai analizētu un iegūtu nepieciešamo informāciju.

Izveidojot BGP.

• bGP prefiksu filtrēšana (BGP prefiksu filtri) - izmanto, lai informācija par komunikācijas operatora iekšējo tīklu neizplata internetu (dažreiz šī informācija var būt ļoti noderīga uzbrucējam);
• ierobežojot prefiksu skaitu, ko var pieņemt no cita maršrutētāja (prefiksa ierobežotājs) - izmanto, lai aizsargātu pret DDOS uzbrukumiem, anomālijām un neveiksmēm pirēšanas partneru tīklos;
• izmantojot BGP kopienas parametrus un filtrēšanu uz tiem var izmantot arī, lai ierobežotu maršruta informācijas izplatīšanu;
• bGP BGP datu pārraudzība un salīdzinājums ar novēroto satiksmi ir viens no DDOS uzbrukumu un anomāliju agrīnās atklāšanas mehānismiem;
• filtrēšana pēc parametru TTL (laiks-to-dzīvot) - izmanto, lai pārbaudītu BGP partnerus.

Ja uzbrukums BGP protokolā tiek uzsākta no Piring partneru tīkla, bet no attālinātas tīkla, TTL parametrs BGP paketēs būs mazāks par 255. Jūs varat konfigurēt ierobežojošos maršrutētājus telekomunikāciju operatora, lai viņi atbrīvotu visu BGP paketes ar TTL vērtību.< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Datu līmeņa aizsardzība (datu plakne)

Neskatoties uz administrēšanas un kontroles līmeņu aizsardzības nozīmi, lielākā daļa no satiksmes tīkla operatoru tīklā ir dati, tranzīts vai atklāti šī operatora abonentiem.

Unicast Reverse Ceļš ekspedīcija (URPF)

Bieži vien uzbrukumi tiek sākti, izmantojot spoofing tehnoloģiju (spoofing) - avota IP adreses ir viltotas tā, lai uzbrukuma avots nav iespējams izsekot. Falsificētas IP adreses var būt:

• no faktiski izmantotās adreses vietas, bet citā tīkla segmentā (segmentā, kad uzbrukums darbojas, šīs viltotas adreses nav maršrutēšanas);
• no adrešu kosmosa, kas neizmantota šajā tīklā;
• no adrešu vietas, kas nav maršruta internetā.

Īstenošana uz URPF mehānismu maršrutētāji novērsīs pakešu maršrutēšanu ar avota adresēm, kas nav saderīgas vai neizmantotas tīkla segmentā, no kura viņi iekļuva maršrutētāja saskarnē. Šī tehnoloģija dažkārt var efektīvi filtrēt nevēlamu satiksmi, kas ir vistuvāk tās avotam, tas ir, visefektīvākais. Daudzi DDoS uzbrukumi (ieskaitot slaveno Smurf un cilšu plūdu tīklu), izmanto elektroinstalācijas mehānismu un pastāvīgu avotu adreses maiņu, lai maldinātu standarta līdzekļi Aizsardzība un filtrēšana.

Izmantojot URPF mehānismu ar telekomunikāciju operatoriem, kas nodrošina abonentu piekļuvi internetam, efektīvi novērsīs DDOS uzbrukumus, izmantojot spoofing tehnoloģiju, kuru vada savus abonentus pret interneta resursiem. Tādējādi DDOS uzbrukums tiek apspiests vistuvāk tās avotam, tas ir visefektīvāk.

Remotenet izraisīja Blackholes (RTBH)

Remotenet izraisīja blackholes tiek izmantoti, lai "piliens" (iznīcināt, sūtīt "uz nekur") satiksmi, ievadot tīklu, maršrutējot šo datplūsmu uz īpašām null 0 saskarnēm. Šī tehnoloģija ieteicams izmantot tīkla robežās, lai atiestatītu DDOS- satiksmes uzbrukumu kad esat ievadīts tīklā. Šīs metodes ierobežojums (un būtiskākais) ir tāds, ka to piemēro visai satiksmei, kas paredzēta noteiktu uzņēmējai vai saimniekiem, kas ir uzbrukuma mērķis. Tādējādi šo metodi var izmantot gadījumos, kad masveida uzbrukums ir pakļauts vienam vai vairākiem saimniekiem, kas rada problēmas ne tikai uzbrukumiem saimniekiem, bet arī citiem abonentiem un tīkla operatoru tīkliem kopumā.

Melnos caurumus var kontrolēt gan manuāli, gan izmantojot BGP protokolu.

QoS politikas pavairošana caur BGP (QPPB)

QoS kontrole, izmantojot BGP (QPPB), ir atvieglot, lai pārvaldītu prioritāro politiku satiksmei, kas paredzēta konkrētai autonomai sistēmai vai bloķēt IP adreses. Šis mehānisms var būt ļoti noderīgs telekomunikāciju operatoriem un lieliem uzņēmumiem, tostarp, lai pārvaldītu nevēlamas satiksmes vai satiksmes prioritāro līmeni vai satiksmi, kurā ir DDOS uzbrukums.

Izlietnes caurumi.

Dažos gadījumos tas nav nepieciešams pilnībā noņemt satiksmi, izmantojot melnus caurumus, bet noņemt to prom no galvenajiem kanāliem vai resursiem turpmākai uzraudzībai un analīzei. Tas ir paredzēts, ka "krāna kanāli" \u200b\u200bvai izlietnes caurumi ir paredzēti.

Izlietnes caurumi visbiežāk tiek izmantoti šādos gadījumos:

• lai noņemtu uz satiksmes sānu un analīzi ar galamērķa adresēm, kas pieder pie tīkla operatora tīkla adreses telpas, bet tajā pašā laikā netiek īsti izmantots (ne aprīkojums vai lietotāji netika izcelti); Šāda satiksme ir priori aizdomīgs, jo tas bieži liecina par mēģinājumu skenēt vai iekļūt tīklā uzbrucējs, kam nav detalizētas informācijas par tās struktūru;
• novirzīt satiksmi no uzbrukuma mērķa, kas faktiski darbojas resursu operatora tīklā, tās uzraudzībai un analīzei.

DDOS aizsardzība, izmantojot īpašus līdzekļus

Cisco Clean Caurules koncepcija - nozares sports

Mūsdienu aizsardzības koncepcija pret DDoS uzbrukumu ir izstrādājusi (jā, jā, jūs neesat pārsteigts! :)) Cisco Systems Company. Cisco izstrādāja koncepciju sauca Cisco tīras caurules ("attīrīti kanāli"). Šajā koncepcijā, kas izstrādāta gandrīz 10 gadus atpakaļ, pamatprincipi un tehnoloģija aizsardzībai pret patoloģiskām novirzēm satiksmē, no kuriem lielākā daļa tiek izmantoti šodien, ieskaitot citus ražotājus, tika detalizēti aprakstīti.

Cisco Clean Cauruļu koncepcija liecina par šādiem DDOS uzbrukumiem atklāšanas un slāpēšanas principiem.

Punkti ir atlasīti (tīkla vietnes), kas tiek analizēta anomāliju identificēšanai. Atkarībā no tā, ka mēs aizsargājam, ar tādiem punktiem var būt komunikācijas operatora pirēšanas savienojumi ar augstākiem operatoriem, apakšējo paziņojumu vai abonentu pieslēguma punktiem, datu centru savienošanas kanāliem tīklam.

Īpaši detektori analizē satiksmi šajos punktos, veidot (studēt) satiksmes profilu savā parastajā stāvoklī, kad parādās DDOS uzbrukums vai anomālija - atklāt to, pētījumus un dinamiski veido savas īpašības. Turklāt informāciju analizē sistēmas operators un pusautomātiskā vai automātiskā režīmā, uzbrukuma slāpēšanas process tiek uzsākts. Apspiešana ir tāda, ka "cietušajam" satiksmei ir dinamiski novirzīta caur filtrēšanas ierīci, uz kura filtri veido detektoru un atspoguļojot šī trafika individuālo raksturu. Attīrīta satiksme tiek ievadīta tīklā un nosūtīts saņēmējam (jo Clean Caurules izcelsme - abonents saņem "tīru kanālu", kas nesatur uzbrukumu).

Tādējādi viss DDOS uzbrukuma aizsardzības cikls ietver šādus galvenos posmus:

• Apmācības kontroles raksturojums (profilēšana, sākotnējais mācīšanās)
• Noteikšanas atklāšana un anomālijas (atklāšana)
• Izplatīšanas novirzīšana, lai izietu caur tīrīšanas ierīci (novirzīšana)
• Satiksmes filtrēšana, lai apspiestu uzbrukumus (mazināšana)
• Ievadiet satiksmi atpakaļ tīklam un adresāta nosūtīšana (injekcija).

N Esential funkcijas.
Par divu veidu ierīču var izmantot kā detektoriem:

• Cisco Systems Ražošanas detektori - Cisco satiksmes anomālijas detektoru pakalpojumi Moduļu pakalpojumu moduļi, kas paredzēti uzstādīšanai Cisco 6500/7600 šasijā.
• Arbor tīkli Ražošanas detektori - Arbor PeakFlow SP KP ierīces.

Zemāk ir tabula, kas salīdzina Cisco un lapenes detektorus.

Parametrs	Cisco satiksmes anomālijas detektors	Arbor PeakFlow SP KP
Saņemot satiksmes informāciju analīzei	Izmanto Cisco 6500/7600 šasijas kopiju	NetFlow-datiem par datiem, kas saņemti no maršrutētājiem, ir atļauts pielāgot paraugu (1: 1, 1: 1 000, 1: 10 000 utt.)
Lietoti atklāšanas principi	Trauksmes analīze (nepareiza noteikšana) un anomāliju atklāšana (dinamisksprofilēšana)	Galvenokārt anomāliju atklāšana; Tiek izmantota analizēta analīze, bet paraksti ir vispārīgi
Veidlapas faktors	pakalpojumu moduļi šasijā Cisco 6500/7600	atsevišķas ierīces (serveri)
Veiktspēja	Testa trafika līdz 2 Gbps	Praktiski neierobežots (jūs varat samazināt paraugu ņemšanas ātrumu)
Mērogojams	Uzstādīšana līdz 4 moduļiemCisco.DetektorsSm. Viena šasija (tomēr moduļi darbojas neatkarīgi viens no otra)	Spēja izmantot vairākas ierīces vienā analīzes sistēmā, no kurām viena ir piešķirta līdera statusam
Satiksmes un maršrutēšanas uzraudzība	Funkcija ir praktiski prombūtne	Funkcionalitāte ir ļoti attīstīta. Daudzi telekomunikāciju operatori pērk Arbor peakflow sp pateicoties dziļajai un attīstītajai funkcijai par satiksmes un maršrutēšanas uzraudzību tīklā
Portāla nodrošināšana (individuālais saskarne abonentam uzraudzīt tikai tās tīkla relatīvo daļu tieši uz to)	Nav sniegts	Sniegts. Tā ir nopietna šī risinājuma priekšrocība, jo sakaru operators var pārdot atsevišķus DDOS aizsardzības pakalpojumus saviem abonentiem.
Saderīgas satiksmes tīrīšanas ierīces (uzbrukuma nomākums)	Cisco. Apsardzes pakalpojumu modulis.	Arbor PeakFlow SP TMS; Cisco apsardzes pakalpojumu modulis.
	Datu centru aizsardzība (datu centrs), pieslēdzoties internetam Abonentu tīklu lejupvērsto savienojumu uzraudzība tīkla operatora tīklam	Uzbrukumu noteikšanaaugšup- savienojumu tīkla operators augstāku pakalpojumu sniedzēju tīkliem Elektrotīkla operatora uzraudzība

Tabulas pēdējā rinda parāda Cisco detektoru un no Arboras izmantošanu, ko ieteica Cisco sistēmas. Skriptu dati ir atspoguļoti turpmākajā shēmā.

Kā Cisco satiksmes tīrīšanas ierīci ieteicams izmantot Cisco apsardzes pakalpojumu moduli, kas ir uzstādīts Cisco 6500/7600 šasijas un komandu, kas saņemta no Cisco detektora detektora vai ar Arbor PeakFlow SP KP ir dinamiska novirzīšana, tīrīšana un apgrieztā satiksmes ierakstu tīklā. Pārcelšanas mehānismi ir vai nu BGP atjauninājumi uz augstākiem maršrutētājiem vai tiešiem vadītājiem uz vadītāju, izmantojot patentēto protokolu. Lietojot BGP atjauninājumus, augšupejošā maršrutētāju norāda jaunā Nex-Hop vērtība par uzbrukumu, kas satur uzbrukumu - lai šī satiksme nokrīt uz tīrīšanas servera. Tajā pašā laikā ir jārūpējas par to, lai šī informācija nebūtu saistīta ar cilpas organizēšanu (lai pakārtotais maršrutētājs nemēģinātu pabeigt šo satiksmi tīrīšanas ierīcē, ievadot to tīrīt). Šim nolūkam mehānismi, lai kontrolētu BGP atjauninājumus saskaņā ar Kopienas parametru vai izmantojot GRE-Tuneļus, ievadot tīrītu satiksmi.

Šāda situācija pastāvēja līdz arbor tīkliem ievērojami paplašināja peakflow sp produktu līniju un neiet uz tirgu ar pilnīgi neatkarīgu lēmumu par aizsardzību pret DDOS uzbrukumiem.

Arbor PeakFlow SP TMS izskats

Pirms dažiem gadiem Arbor tīkli nolēma izstrādāt savu produktu līniju, lai aizsargātu pret DDOS uzbrukumiem paši un neatkarīgi no šā virziena attīstības tempu un politiku no Cisco. PeakFlow SP KP risinājumi ir būtiskas priekšrocības salīdzinājumā ar Cisco detektoru, jo tās analizēja plūsmas informāciju ar iespēju regulēt izlases frekvenci, kas nozīmē, ka nav nekādu ierobežojumu izmantošanu komunikācijas operatoru tīklos un stumbra kanālos (pretstatā Cisco Detektors, kas analizē satiksmes kopiju). Turklāt nopietnā PeakFlow SP priekšrocība bija iespēja operatoriem pārdot individuālus uzraudzības pakalpojumus abonentiem un aizsargāt to tīkla segmentus.

Ņemot vērā šos vai citus apsvērumus, Arbor ir ievērojami paplašinājis peakflow sp produktu līniju. Parādījās vairākas jaunas ierīces:

PeakFlow SP TMS (draudu vadības sistēma) - piegādā DDOS uzbrukumus ar daudzpakāpju filtrēšanu, pamatojoties uz datiem, kas iegūti no peakflow SP KP, un no ASERT laboratorijas, kas pieder Arbor tīkliem un uzraudzīt un analizējot DDOS uzbrukumus internetā;

Peakflow SP BI (Business Intelligence)- ierīces, kas nodrošina sistēmas mērogošanu, palielinot loģisko objektu skaitu, kas jāuzrauga un jānodrošina savākto un analizēto datu atlaišana;

PeakFlow SP PI (portāla interfeiss)- ierīces, kas nodrošina abonentu pieaugumu, kuri ir nodrošināti ar individuālu saskarni, lai pārvaldītu savu drošību;

PeakFlow SP FS (Flow Cenzors)- ierīces, kas nodrošina abonentu maršrutētāju, savienojumu ar zemākiem tīkliem un datu apstrādes centriem.

Principi darbībai Arbor peakflow sp sistēma saglabājās galvenokārt tāpat kā Cisco tīras caurules, bet lapene regulāri attīstās un uzlabo savas sistēmas, tāpēc brīdī funkcionalitāti lapene produktu daudzos parametros ir labāks par Cisco, ieskaitot veiktspēju.

Līdz šim, maksimālais veiktspēja Cisco apsardzes modeli, kas jāsasniedz, izveidojot 4 Guard moduļu kopu vienā Cisco 6500/7600 šasijā, bet šo ierīču pilnīga klasterizācija netiek īstenota. Tajā pašā laikā, augšējie modeļi arbor peakflow SP TMS ir ietilpība līdz 10 GB / s, un savukārt var clushly.

Pēc tam, kad Arbor sāka sevi pozicionēt kā neatkarīgu atskaņotāju tirgū, lai atklātu un apspieinātu DDOS uzbrukumus, Cisco sāka meklēt partneri, kurš to sniegtu kā nepieciešamo plūsmas datu uzraudzību tīkla satiksmē, bet tas nebūtu tieša konkurents. Šāds uzņēmums ir kļuvis par Narus, kas ražo plūsmas datu bāzes uzraudzības sistēmu (narusinsight) un ir noslēgusi partnerību ar Cisco sistēmām. Tomēr šī partnerība nesaņēma nopietnu attīstību un klātbūtni tirgū. Turklāt, saskaņā ar dažiem ziņojumiem, Cisco neplāno ieguldīt savā Cisco detektorā un Cisco apsardzes risinājumos, patiesībā, atstājot šo nišu uzņēmuma arbor tīklu uzņēmumam.

Dažas Cisco un lapenes risinājumu iezīmes

Ir vērts atzīmēt dažas Cisco un lapenes risinājumu iezīmes.

1. Cisco Guard var izmantot gan kopā ar detektoru un patstāvīgi. Pēdējā gadījumā tas ir instalēts in-line režīmā un veic funkcijas detektora analīzes satiksmes, un, ja nepieciešams, ieslēdz filtrus un tīrīt satiksmi. Šī režīma mīnus ir tāds, ka, pirmkārt, papildu punkts tiek pievienots potenciāli neveiksmes, un, otrkārt, papildu satiksmes aizkavēšanās (lai gan tas ir mazs, kamēr filtrēšanas mehānisms ir ieslēgts). Ieteicams Cisco Guard Mode - gaida komandu novirzīt satiksmi, kurā ir uzbrukums, filtrēšana un ievadīšana atpakaļ uz tīklu.
2. Arbor PeakFlow SP TMS ierīces var darboties gan ārpus raiņas režīmā, gan in-line režīmā. Pirmajā gadījumā ierīce pasīvi sagaida komandu, lai novirzītu satiksmi, kas satur uzbrukumu tīrīšanai un ievadiet to atpakaļ tīklā. Otrajā gadījumā viņš slēpjas cauri visai satiksmei, ražo datus, pamatojoties uz Arborflow, pamatojoties uz to un nosūta tos uz peakflow SP KP, lai analizētu un atklātu uzbrukumus. Arborflow ir formāts, kas ir līdzīgs netflow, bet arbora uzlabo savu peakflow sp sistēmas. Satiksmes uzraudzība un uzbrukumu atklāšana veic peakflow SP KP, pamatojoties uz Arborflow datiem, kas iegūti no TMS datiem. Kad uzbrukums tiek atklāts, PeakFlow SP KP operators dod komandu tās nomākumu, pēc kura TMS ieslēdzas filtrus un noskaidro satiksmi no uzbrukuma. Atšķirībā no Cisco, PeakFlow SP TMS serveris nevar strādāt patstāvīgi, tas prasa peakflow SP KP serveri darbam, kas veic satiksmes analīzi.
3. Šodien lielākā daļa speciālistu piekrīt, ka uzdevumi aizsargāt vietējās jomas tīkla (piemēram, savienojot CD vai pieslēgumu pakārtotajiem tīkliem)