Macesed DDOS saldırıları. Rus bankalarına büyük bir DDOS saldırısı gerçeğinde, FSB ceza davası açtı

Kullanıcıların başka bir kaynağa erişemeyeceği saldırı, DDOS saldırısı veya "Bakımın Bakımı" sorunu olarak adlandırılır. Bu tür hacker saldırılarının temel özelliği, dünyanın dört bir yanındaki çok sayıda bilgisayardan eşzamanlı taleplerdir ve çoğunlukla iyi korunan şirketlerin veya devlet kuruluşlarının sunucularına, daha az sayıda ticari olmayan kaynaklar üzerinde yönlendirilirler.

Enfekte olan bilgisayar "zombilerin" ve birkaç yüz çocuğu kullanan bilgisayar korsanlarının benzerliği olur ve daha sonra on binlerce kadar "zombi", bir kaynak başarısızlığına (sürdürmeyi reddetmeye) neden olur.

DDOS saldırısının nedenleri çok olabilir. En popülerleri belirlemeye çalışalım ve aynı zamanda soruları cevaplayalım: "DDOS saldırısı - ne, kendinizi nasıl koruyacağınız, sonuçları nelerdir ve bunun ne demektir?"

Rekabet

İnternet, uzun zamandır bir iş fikri, büyük projelerin uygulanması ve çok büyük para kazanmanın diğer yolları olmuştur, bu nedenle DDOS saldırısı siparişe verilebilir. Yani, bir kuruluş bir rakip durumunda onu kaldırmak istiyorsa, basit bir görevi olan Hakura (veya böyle bir gruba) ile iletişim kurmaktır - istenmeyen bir şirketin çalışmalarını İnternet kaynakları aracılığıyla (DDOS) sunucu veya siteye saldırı).

Özel amaçlara ve görevlere bağlı olarak, bu saldırı belirli bir süre için kurulur ve uygun gücü kullanır.

Dolandırıcılık

Oldukça sık, siteye DDOS saldırısı, sistemi engellemek ve kişisel veya diğer önemli kaynaklara erişmek için bilgisayar korsanlarının inisiyatifinde düzenlenir. Saldırganlar sistem tarafından felç olduktan sonra, saldırgan kaynakların performansını geri yüklemek için bir miktar para gerektirebilirler.

Birçok internet girişimcisi, genişletilmiş koşulları kabul eder, eylemlerini Dowstaries tarafından DOWSTALISS'TA İŞLETMEYE KARŞILAŞTIRILMIŞTIR.

Eğlence

Birçok kullanıcı sadece merak uğruna ya da eğlence uğruna ilgileniyor: "Ddos saldırısı - bu nedir ve nasıl yapılır?" Bu nedenle, yeni başlayan davetsiz misafirlerin eğlence uğruna ve örneklerin rastgele kaynaklar için bu tür saldırıları düzenlediklerinde sıklıkla vakalar vardır.

Sebeplerle birlikte DDOS saldırılarının kendi sınıflandırma işaretleri vardır.

  1. Bant genişliği. Bugün, hemen hemen her bilgisayar yeri donanımlıdır veya yerel ağVeya sadece internete bağlı. Bu nedenle, sıklıkla bir ağ sel vakaları vardır - daha sonra reddetme veya başarısızlık için özel kaynaklara veya ekipmanlara yanlış oluşturulmuş ve anlamsız bir sisteme sahip çok sayıda istek vardır. sabit sürücüler, hafıza vb.).
  2. Yorucu sistem. SAMP sunucusundaki böyle bir DDOS saldırısı yakalama için gerçekleştirilir. fiziksel hafıza, işlemci zamanı ve diğer sistem kaynakları, saldırgan bir nesnenin tam olarak çalışmak için mümkün olmadığı nedeniyle.
  3. Soğutma. Sonsuz veri testi ve "bir daire içinde" hareket eden diğer çevrimler, bir nesneyi çok fazla kaynak harcamak için zorlar, böylece tam tükenmeye bellek alır.
  4. Sahte saldırılar. Böyle bir organizasyon, sonuçta belirli kaynakları engellemeye yol açan koruma sistemlerinin yanlış bir yanıtını hedeflemektedir.
  5. Http protokolü. Hackers, özel şifreleme ile şiddet içeren HTTP paketlerini gönderir, doğal olarak, doğal olarak, DDOS saldırısının üzerinde düzenlendiğini görmüyor, sunucunun programını gerçekleştirdiğini, çalışmalarını gerçekleştirdiğini, bant genişliğini alıyor, böylece bant genişliğini alıyor. Yine, hizmetlerin başarısızlığına yol açan mağdurun.
  6. Smourf saldırı. Bu en tehlikeli türlerden biridir. Broadcast Kanalı üzerinden Hacker, mağduru, mağdurun adresinin saldırganın adresi tarafından değiştirildiği sahte bir ICMP paketi gönderir ve tüm düğümler ping isteğine bir cevap göndermeye başlar. Bu DDOS saldırısı, büyük bir ağın kullanımına yönelik bir programdır, yani 100 bilgisayarla tedavi edilen istek 100 kez güçlendirilmiş olacaktır.
  7. Udp sel. Bu tür bir saldırı, öncekine benzer bir şeydir, ancak ICMP paketleri yerine, davetsiz misafirler UDP paketlerini kullanır. Bu yöntemin özü, mağdurun IP adresini bilgisayar korsanı adresine değiştirmek ve sistem arızasına yol açacak olan bant genişliğini tamamen indirmektir.
  8. Sülük. Saldırganlar aynı anda bir SYN kanalı aracılığıyla çok sayıda TCP bağlantısı çalıştırmaya çalışıyorlar ya da izin verilmiyor. ters adres. Çoğu tür girişimden sonra işletim sistemleri Kuyrukta, sorun bağlantısı ayarlanır ve yalnızca bir Enon'u kapatma girişimlerinin ardından. SYN kanal akımı oldukça büyüktür ve yakında, çeşitli girişimlerden sonra, mağdurun çekirdeği tüm ağın çalışmasını engelleyerek yeni bir bağlantı açmayı reddediyor.
  9. "Ağır paketler". Bu türler soruya cevabı verir: "DDOS-Attack sunucusu nedir?" Hacker'lar, kullanıcı sunucusuna paketler gönderir, ancak bant genişliğinin doygunluğu gerçekleşmez, eylem yalnızca işlemci zamanı için yönlendirilir. Sonuç olarak, bu tür paketler sistemde başarısızlığa yol açar ve sırayla kaynaklarına.
  10. Log dosyaları. Teklif ve dönme sisteminin çıplak bir torbaya sahipse, saldırganlar paketin hacminde büyük, böylece sunucunun sert aramalarındaki tüm boş alanları işgal edebilirler.
  11. Program kodu. Kapsamlı deneyime sahip bilgisayar korsanları, mağdurun sunucusunun yapısını tamamen keşfedebilir ve özel algoritmalar başlatabilir (DDOS Attack - Araştırma Programı). Bu tür saldırılar, çoğunlukla çeşitli kürelerin ve bölgelerin işletmelerinin ve kuruluşların iyi korunmasına yöneliktir. Saldırganlar, program kodundaki çubukları bulur ve sistemin veya hizmetin acil durumuna yol açan geçersiz talimatlar veya diğer olağanüstü algoritmalar başlatır.

DDOS Saldırı: Nedir ve Nasıl Korunur?

DDOS-Attack Koruma Metodları Çok şey var. Ve hepsi dört bölüme ayrılabilir: pasif, aktif, gerici ve önleyici. Daha sonra ne konuşacağız.

Bir uyarı

Burada, doğrudan bir DDOS saldırısını kışkırtabilecek nedenlerin nedenlerini önlemeniz gerekir. Bu tür, bazı kişisel düşmanlığa, yasal anlaşmazlıklara, rekabet ve "artan" dikkatini, işinize, işinize vb. "Arttıran diğer faktörlere atfedilebilir.

Bu faktörlere cevap vermesi ve uygun sonuçları vermesi durumunda, birçok hoş olmayan durumlardan kaçınılabilir. Bu yöntem, sorunların teknik tarafına göre sorunlara atfedilebilir.

Cevap önlemleri

Kaynaklarınızdaki saldırılar devam ederse, sorunlarınızın kaynağını - hem yasal hem de teknik kaldıraçları kullanarak bir müşteri veya sanatçı bulmanız gerekir. Bazı firmalar, davetsiz misafirleri teknik bir şekilde bulmak için hizmet vermektedir. Bu konuyla ilgilenen uzmanların niteliklerine dayanarak, sadece bir DDOS saldırısı egzersiz yapan bir hacker değil, aynı zamanda doğrudan müşterinin kendisidir.

Yazılım Koruması

Ürünleri ile birlikte bazı donanım ve yazılım üreticileri oldukça fazla etkili çözüm sunabilir ve sitedeki DDOS saldırısı beslenerek durdurulacak. Küçük ve orta dereceli DDOS saldırılarına karşı çıkmayı amaçlayan ayrı bir küçük sunucu teknik bir savunma olabilir.

Bu karar küçük ve orta ölçekli işletmeler için mükemmeldir. Daha büyük şirketler, işletmeler ve devlet kurumları için, yüksek bir fiyatla birlikte mükemmel koruyucu özelliklere sahip olan DDOS saldırıları ile mücadele etmek için tüm donanım kompleksleri vardır.

Filtreleme

Gelen trafiğin kilitlenmesi ve kapsamlı filtrelenmesi, yalnızca bir saldırı olasılığını azaltmaya izin vermez. Bazı durumlarda, sunucuya DDOS saldırısı tamamen hariç tutulabilir.

Trafiği filtrelemek için iki ana yol seçebilirsiniz - güvenlik duvarları ve listelerdeki tam yönlendirme.

Listeleri kullanarak filtreleme (ACL), ikincil protokolleri TCP'nin çalışmasını bozmadan ve korumalı kaynağa erişim hızını düşürmeden kesmenize olanak sağlar. Ancak, bilgisayar korsanları botnet kullanıyorsa veya yüksek frekanslı taleplerT. bu method Etkisiz olacak.

DDOS saldırılarına karşı korunmak çok daha iyidir, ancak sadece eksi sadece özel ve kar amacı gütmeyen ağlar için tasarlanmıştır.

Ayna

Bu yöntemin özü, saldırganın gelen tüm gelen trafiğini yeniden yönlendirmektir. Bunu yapabilirsiniz, sadece trafiği yönlendirmeyecek, ancak saldırganın ekipmanı ile başa çıkabilecek olan varlığında güçlü sunucular ve yetkili uzmanlara sahip olabilirsiniz.

Sistem hizmetlerinde, program kodlarında ve diğer ağ uygulamalarında hatalar varsa, yöntem uygun değildir.

Güvenlik Açıkları arayın

Bu tür bir koruma, web uygulamalarındaki ve sistemlerdeki diğer hizmetlerin yanı sıra, ağ trafiğinden sorumlu diğer hizmetlerin yanı sıra, istismarların, sorun giderme hatalarını düzeltmeyi amaçlamaktadır. Yöntem, güvenlik açığı verilerine yönelik sel saldırılarına karşı yararsızdır.

Modern kaynaklar

% 100 Koruma Garantisi Bu yöntem olamaz. Ancak, DDOS saldırılarını önlemek için daha etkili bir şekilde diğer olayları (veya karmaşık) gerçekleştirmenize izin verir.

Sistemlerin ve kaynakların dağılımı

Kaynakların ve sistemlerin dağıtımının çoğaltılması, kullanıcıların şu anda Sunucunuzda DDOS saldırısı gerçekleştirilse bile, kullanıcıların verilerinizle çalışmasına izin verecektir. Dağıtım için, çeşitli sunucu veya ağ ekipmanlarını kullanabilirsiniz ve ayrıca hizmetleri farklı yinelenen sistemlerde (tarih merkezleri) fiziksel olarak farklı şekilde paylaşmanız da önerilir.

Böyle bir savunma yöntemi, doğru mimari tasarımın oluşturulması şartıyla, bugün en etkili olanıdır.

Kaçırma

Bu yöntemin ana özelliği, saldırgan bir nesnenin (etki alanı adı veya IP adresi) çıktısı ve ayrılmasıdır, yani aynı sitedeki tüm çalışma kaynakları, üçüncü taraf ağ adreslerine veya hatta topraklarında bölünmeli ve konumlandırılmalıdır. başka bir devlet. Bu, herhangi bir saldırıdan kurtulmanıza ve iç BT yapısını koruymanıza izin verir.

DDOS-Attack Koruma Hizmetleri

Böyle bir saldırı hakkında her şeyi anlattıktan sonra, DDOS saldırısı gibi (ne olduğu ve nasıl başa çıkacağınız), nihayet bir iyi tavsiyeyi verebiliriz. Birçok büyük organizasyon, bu tür saldırıları önlemek ve önlemek için hizmetlerini sunar. Çoğunlukla bu tür şirketler, işinizi çoğu DDOS saldırılarından korumanıza izin veren çok çeşitli önlemler ve çeşitli mekanizmalar kullanırlar. Uzmanlar ve Connoisseurs orada çalışırlar, bu nedenle, kaynağınız pahalıysanız, seçenek bu tür şirketlerden birine itirazın optimaldir (de olsa).

DDOS saldırısını kendi ellerinizle nasıl yapılır?

Bilinçtir, silahlı anlamına gelir - doğru ilke. Ancak, DDOS saldırılarının kasıtlı organizasyonunun yalnızca veya bir grup insan olduğunu, bu nedenle, bu malzeme yalnızca tanıtım için sağlanmış olduğunu unutmayın.

Amerikan BT tehdidi önleme çalışanları, sunucu yüklerinin dengesini test etmek için bir program geliştirdiler ve bu saldırının daha sonra ortadan kaldırılmasıyla saldırganlar tarafından DDOS-saldırılarının olasılığını geliştirdi.

Doğal olarak, "sıcak" zihinler bu silahı geliştiricilere karşı ve savaştıklarına karşı çevirdi. Ürün Kodu Adı - LOIC. Bu program ücretsiz erişimdedir ve prensip olarak yasa ile yasaklanmaz.

Programın arayüzü ve işlevselliği oldukça basittir, DDOS saldırısı ile ilgilenenlerden yararlanabilir.

Herşeyin kendin nasıl yapılır? Arayüz vuruşlarında, IP kurbanlarına girmek, daha sonra TCP ve UDP akışlarını ve istek sayısını ayarlamak yeterlidir. Voila - Cherished düğmesine bastıktan sonra, saldırı başladı!

Herhangi bir ciddi kaynaklar doğal olarak bu yazılımdan muzdarip olmayacak, ancak küçük bazı problemler yaşayabilir.

DDOS saldırılarına ve internet kaynaklarına erişme konusunda uzmanlaşmış Qrator Labs, Memcache tabanlı amplifikasyon tekniklerini kullanan (veri önbelleğe alma hizmetini uygulayan yazılımlar) yüksek hızlı DDOS saldırıları gerçeğini kaydetti. rasgele erişim belleği Karma masasına göre).

23 Şubat - 27.2018 tarihten itibaren Memcache dalgası, Avrupa'da büyütülmüş DDOS saldırıları. Böyle bir saldırının tekniği, varsayılan Memcache parametrelerinin kurulumuna tabi olan UDP trafik saldırganlarını dinlemektir, yani UDP sel aslında kullanılmıştır - çok çeşitli IP'lerden birim birimi başına sahte UDP paketleri kümesini gönderme adresler.

Memcache güvenlik sorunları, 2018 yılından beri en az 2014 yılından bu yana bilinmektedir, bu güvenlik açığı özellikle parlak bir şekilde kendini gösterir: 25-26 Şubat gecesi, Qrator Labs uzmanları, saldırılar da dahil olmak üzere internette bir dizi Memcache amplifyed ddos \u200b\u200bsaldırıları Rusya en büyük ağ kaynakları.

2017 yılında, Çin OKEE ekibinden bir grup araştırmacı, bu tür saldırıları organize etme olasılığı hakkında potansiyel olarak yıkıcı güçlerine işaret etmektedir.

Geçtiğimiz birkaç gün boyunca, birçok kaynak, Memcache kaynaklarından, DNS ve NTP'den gelen cevapların saldırılarıyla, Memcache kaynaklarından büyütülmüş yanıtlar tarafından saldırı gerçeğini doğruladı. Bu sahte saldırıların kaynakları, büyük bir OVH sağlayıcısı ve çok sayıda daha küçük İnternet sağlayıcısı ve hosters idi.

Qrator Labs şirketinin müşterilerinden biri - Ödeme sistemi Qiwi, bazı Memcache amplifikatörlerinden kaynaklanan kaynakları üzerindeki 480 Gbps Bant / S UDP trafiğinin başarıyla nötrleştirilmiş bir saldırısının gerçeğini doğruladı.

"DDOS saldırılarının uygulanması için modern teknikler hala durmuyor. Giderek, saldırganlar tarafından saldırıları uygulamak için başarılı bir şekilde kullanılan internetin altyapısındaki yeni "Broys" ın ortaya çıkmasını düzeltiyoruz. Hızını birkaç yüz GB / s'ye ulaşan Memcache kullanan saldırılar, onaylandı, - Genel Müdür ve Kurucu Qrator Labs Alexander Lyamin hakkındaki yorumlar. - İnternetteki savunmasız Memcache kaynakları çok büyük bir miktardır ve varsayılan kurulumları unutmayan, Memcache'nin doğru konfigürasyonunu yapmak için teknik uzmanları şiddetle tavsiye ediyoruz. Bu, sunucuya gönderilen tüm UDP trafiğini dinlemekten ve DDOS-saldırılarının olasılığını azaltmanıza yardımcı olacaktır. "

Qrator Labs Hakkında

Qrator Labs - Rusya'da DDOS'taki bir numara (IDC Rusya Anti-DDOS Hizmetleri Piyasası 2016-2020 Tahmini ve 2015 Analizi). Şirket 2009 yılında kuruldu ve DDOS saldırılarını Wallarm'ın ortak teknolojisi tarafından düzenlenen WAF (Web Uygulama Güvenlik Duvarı) Çözümleri ile bir kompleksin içine sokma hizmetlerini sunuyor. DDOS saldırılarını etkin bir şekilde karşı koymak için, Qrator Labs Qrator.Radar'ın kendi Global İzleme Hizmeti verilerini kullanır. Qrator filtreleme ağı, ABD, Rusya, AB ve Asya'da bulunan düğümlerde, kendi filtreleme algoritmalarının yanı sıra, şirketin rekabet avantajıdır.

Bu organizasyon, bölgedeki alan adlarının kayıtlarına ek olarak, ayrıca Türk üniversitelerine ana bağ sağlar. İsıl desteğinde Türk liderliğini suçlayan anonimlerin başarısı sorumluluk aldı.

DDOS'un ilk belirtileri, 14 Aralık sabahı, öğle saatlerinde, öğlen, beş NIC.TR sunucusu, 40 GB / s'ye kadar çöp trafiğinin saldırısı altında teslim edildi. Sorun aynı zamanda, alternatif bir NIC.TR altyapısı sağlayan olgun koordinasyon merkezini de etkiledi. Ripe temsilcileri, saldırının olgun korumayı atlamak için böyle bir şekilde değiştirildiğini belirtti.

Büyük ölçekli DDOS saldırıları en çok olur etkili bir şekilde Web hizmetlerinin çalışmalarını temizleyin - saldırıların maliyeti sürekli azalır; bu, gücü arttırmanıza olanak tanır: Sadece iki yılda DDOS saldırısının ortalama gücü dört kez büyüdü ve 8 Gb / s. Ortalama saldırı değerleri ile ilgili olarak, Türkiye'nin ulusal alan bölgesi yüce görünüyor, ancak uzmanlar 400 GB / s seviye DDOS-saldırılarının yakında norm haline geleceğini vurguluyor.

Türk saldırının benzersizliği, saldırganların doğru hedefi seçmesidir: nispeten az sayıda IP adresine odaklanmaları, sadece 40 gigabit bir saldırı kullanarak tüm ülkenin altyapısını pratik olarak başarısız olabildiler.

Türkiye Ulusal Tepki Merkezi, Cybersins'in NIC.TR sunucularına giren tüm trafiği diğer ülkelerdeki tüm trafiği engelledi, bu yüzden 400 bin Türk sitesinin erişilemez hale geldiği ve tüm mesajlar e-posta Gönderenlere geri döndü. Daha sonra merkez, taktikleri değiştirmeye karar verdi, şüpheli IP adreslerinin seçici bir şekilde tıkanması. Bölgedeki etki alanlarının DNS sunucuları., Türk İnternet Sağlayıcıları Superonline ve Vodafone'a yardımcı olan kamu ve özel sunucular arasındaki talepleri dağıtmak için yeniden yapılandırılmıştır.

Saldırılan alanlar aynı günde çevrimiçi olarak geri döndü, ancak birçok site ve posta hizmetleri Kesintilerle birkaç gün daha çalıştı. Yalnızca yerel şirketler ve devlet organizasyonları değil, aynı zamanda Zone.tr'de bir alan adı seçen birçok ulusal web kaynağı da yaralandı; Toplamda,% 75'i kurumsal olan yaklaşık 400 bin web sitesidir. Türk Ulusal Alanı ayrıca eğitim kurumları, belediyeler ve ordu kullanır.

"Anonim" olsa da, Türkiye ile Rusya arasındaki gergin ilişkilerden dolayı Rusların DDOS saldırısında birçok vinil yapmadı. Bir seferde, benzer nedenlerle Rus bilgisayar korsanları, Estonya (2007), Gürcistan (2008) ve Ukrayna'ya (2014) büyük çaplı siber saldırılara dahil olduğundan şüphelenildi. Bazı uzmanlar, Türk DDOS'u Rus haberi "uydu" üzerine Türk Cybergroups'un DDOS saldırısına göre Ruslara yanıtını buldu.

Anonim beyanda, vakfın "Rus izi" nin hipotezini mahrum etti. Hakctivistler ayrıca, Türkiye artık IGil'e yardım etmeyi bırakmazsa, Türk havaalanlarına, bankalara, devlet yapılarını ve askeri kuruluşların sunucularını saldırmakla da tehdit ediyorlar.

Son iki yılın dengesiz ekonomik durumu, bir sonucu olarak DDOS-Saldırıların popülerliğinin artmasıyla pazardaki rekabet mücadelesi düzeyinde önemli bir artışa neden oldu - etkili yöntem Ekonomik hasar uygulamak.

2016 yılında DDOS-Saldırıların organizasyonu için ticari emirlerin sayısı birkaç kez arttı. Muazzam DDOS saldırıları, örneğin 2014 yılında büyük bir iş segmentinde olduğu gibi, nokta politik etkileri alanından geçiş yaptı. Saldırganların ana görevi olabildiğince çabuk ve minimum maliyetler, bunun için rakiplerden para kazanılmaması için, gasp, vb. DDOS saldırılarının daha fazla ve daha aktif olarak kullanılmasını sağlamak için, bunun için rakiplerden para kazanılmaması için en az maliyetle. Giderek büyük ölçekli iş koruma araçları için.

Aynı zamanda, DDOS'a karşı mücadelede dikkat çeken başarıya rağmen, saldırı sayısı büyümeye devam ediyor. Qrator Labs'a göre, 2015 yılında DDOS saldırıları miktarı% 100 arttı. Ve şaşırtıcı değil, çünkü maliyetleri saatte yaklaşık 5 $ 'a düştü ve uygulama araçları büyük bir kara pazarına gitti. Önümüzdeki birkaç yıldır öngörülen, devam etmeyi reddetmeyi amaçlayan dağıtılmış saldırıların birkaç temel eğilimini belirtiriz.

Saldırı UDP Amplifikasyonu

Kanal kapasitesinin tükenmesine yönelik saldırılar, UDP amplifikasyonunu içerir. Bu tür olaylar 2014 yılında en yaygın olanlardı ve 2015 yılının parlak bir eğilimi oldu. Ancak, sayıları zirvesine ulaştı ve yavaş yavaş bir düşüşe geçti - bu tür saldırıları gerçekleştirmek için bir kaynak sadece final değil, aynı zamanda keskin bir şekilde azalır.

Amplifikatörün altında, küçük bir sorguda daha büyük bir cevaptan daha fazla gönderilebilir, kimlik doğrulaması olmadan çalışan bir halka açık UDP hizmeti anlamına gelir. Saldırı, bu tür istekleri gönderme, IP adresini mağdurun IP adresine değiştirir. Sonuç olarak, saldırgan kanalının bant genişliğini aşan çok daha fazla trafik, kurbanın web kaynağına yönlendirilir. Saldırılara, DNS, NTP, SSDP ve diğer sunuculara geçersiz katılım için kullanılır.

L7'de web uygulamalarına saldırılar

Yine ön planda olan amplifikatörlerin sayısındaki azalma nedeniyle, Klasik Botnets kullanarak L7 düzeyinde web uygulamalarına saldırıların organizasyonu. Bildiğiniz gibi, Botnet uzak komutlara ağ saldırılarını gerçekleştirebilir ve enfekte olmuş bilgisayarların sahipleri bu konuda şüphesiz olabilir. Servisin aşırı yüklenmesinin bir sonucu olarak, meşru kullanıcıların çekiciliği için istekleri, cevapsız bir cevap yoktur veya cevaplar büyük miktarda zamandan daha fazla bir gereksiz gerektirir.

Bugün, botnetler daha zeki hale geliyor. Uygun saldırıları düzenlerken, tam tarayıcı yığını teknolojisi desteklenir, yani özel bir bilgisayarın tam öykünmesi, tarayıcı, Java komut dosyası. Bu tür teknikler, L7 saldırılarını mükemmel şekilde gizlemenizi sağlar. Botu kullanıcıdan elle ayırt etmek neredeyse imkansızdır. Bu, makine öğrenme teknolojisini kullanan sistemleri gerektirir, bu sayede karşı saldırı seviyesinin arttıkça, mekanizmaların iyileştirildiği ve testin doğruluğu artıyor.

BGP problemleri

2016 yılında, yeni bir eğilim, BGP güvenlik açıklarının kullanımına dayanarak, ağın altyapısına saldırılar ortaya çıktı. Tüm internete dayanan BGP yönlendirme protokolünün sorunları birkaç yıldır bilinmektedir, ancak son yıllarda giderek daha ciddi olumsuz sonuçlara yol açarlar.

Birbirine yönlendirme ile ilişkili ağ anomalileri, çok sayıda ana bilgisayar, ağ ve hatta genel bağlantı ve internet erişilebilirliğini etkileyebilir. En tipik sorun türü, yanlış yönde duyurusu sonucu ortaya çıkan rotanın "sızıntısı" rota sızıntısıdır. BGP güvenlik açıkları nadiren kasıtlı olarak kullanırken: Böyle bir saldırıyı organize etme maliyeti oldukça yüksektir ve olaylar ağ ayarlarındaki banal hataları nedeniyle ortaya çıkar.

Bununla birlikte, son yıllarda, internetteki organize ceza gruplarının ölçeği önemli ölçüde artmıştır, bu nedenle Qrator laboratuvarlarına göre, BGP sorunlarına ilişkin saldırılar zaten öngörülebilir gelecekte popüler olacaktır. Parlak bir örnek, IP adreslerinin (kaçırma), devlet düzeninde gerçekleştirilen bir CyberGroup Hack Takımı tarafından (kaçırma) "Hijack "'dir.

OlaylarTCP.

TCP / IP sisteminin ağ yığını, şu andaki yılda özellikle akut olacak bir dizi soruna sahiptir. Aktif hız büyümesini sürdürmek için, İnternet altyapısı sürekli güncellenmelidir. İnternete fiziksel bağlantının hızı birkaç yılda bir büyüyor. 2000'lerin başında. Standart 1 Gbit / S, bugün en popüler fiziksel arayüz 10 gbit / s. Bununla birlikte, bu kadar yüksek hızlar için tasarlanmamış, modası geçmiş bir TCP / IP protokolü ile ilgili sorun yaratan, yeni bir fiziksel eklem standardının, 100 Gbit / S'lik bir şekilde tanıtılması.

Örneğin, bir TCP dizisi numarası seçmek için birkaç dakika meselesinde mümkün olur - Bağlantıyı takma ve değişim verilerini yükleme sırasında karşılıklı kimlik doğrulaması yapacak (veya daha doğrusu) TCP / IP ortakları , siparişlerini ve bütünlüğünü korurken. TCP sunucusu günlük dosyalarındaki 100 GB / s hattında, açık bağlantı ve / veya üzerine gönderilen verilerle ilgili olarak, sabit IP adresinin bağlantıyı yüklediğini ve bu verileri iletmesini sağlamaz. Buna göre, yeni sınıf saldırılarını organize etme olasılığını açar ve güvenlik duvarlarının etkinliği önemli ölçüde azaltabilir.

TCP / IP güvenlik açıkları birçok araştırmacının dikkatini çekiyor. 2016 yılında bu "deliklerin" çalışmasıyla ilgili "yüksek sesle" saldırılarını duyacağımıza inanıyorlar.

Yakın gelecek

Günümüzde, teknolojilerin ve tehditlerin gelişimi "Klasik" spiral üzerinde gerçekleşmez, çünkü sistem kapalı değil - birçok dış faktör var. Sonuç olarak, genişleyen genlikli bir spiral elde edilir - yükselir, saldırının karmaşıklığı artmaktadır ve teknolojinin kapsamı önemli ölçüde genişlemektedir. Sistemin gelişimi üzerinde ciddi bir etkisi olan birkaç faktöre dikkat ediyoruz.

Bunların ana kesinlikle - yeni IPv6 taşıma protokolüne geçiş. 2015 yılının sonunda, IPv4 protokolü eski olarak kabul edildi ve IPv6, yeni zorluklarla getiren, şu anda her cihazın bir IP adresi var ve hepsinin birbirlerine doğrudan bağlanabilir. Evet, bitiş cihazlarının nasıl çalışması gerektiğinde yeni öneriler belirir, ancak endüstrinin tüm bunlarla başa çıkacağı gibi, özellikle telekom operatörleri, kitle ürün segmenti ve Çin satıcıları açık bir sorudur. IPv6, oyunun kurallarını kökten değiştirir.

Başka bir zorluk, mobil ağlarda, hızları ve "dayanıklılığını" önemli bir artışdır. Mobil Botnet, önce, her şeyden önce, iletişimin operatörü, şimdi, 4G bağlantısı kablolu internetten daha hızlı hale geldiğinde, Çin üretimi de dahil olmak üzere çok sayıda cihaza sahip mobil ağlar mükemmel bir platforma dönüştürülür. DDOS ve Hacker saldırıları için. Ve problemler sadece Telekom operatöründe değil, aynı zamanda diğer piyasa katılımcıları arasında da ortaya çıkıyor.

Ciddi bir tehdit, şeylerin internetin ortaya çıkan dünyasıdır. Yeni saldırı vektörleri belirir, çünkü çok sayıda cihaz ve kablosuz iletişim teknolojisinin kullanımı, bilgisayar korsanları için gerçekten sınırsız perspektifler için açılır. İnternete bağlı tüm cihazlar potansiyel olarak davetsiz misafir altyapısının bir parçası olabilir ve DDOS saldırılarına katılmalıdır.

Ne yazık ki, ağa bağlı her türlü ev aletinin üreticileri (su ısıtıcıları, televizyonlar, otomobiller, çok para birimleri, ölçekler, "akıllı" soketler vb.) Her zaman korumalarının uygun seviyesini sağlamaz. Genellikle, popüler işletim sistemlerinin eski sürümleri bu tür cihazlarda kullanılmaktadır ve satıcılar, güvenlik açıklarının ortadan kaldırıldığı sürümlerde düzenli güncelleme - değiştirme işlemlerini önemsemezler. Ve cihaz popüler ve yaygın olarak kullanılansa, bilgisayar korsanları güvenlik açıklarından yararlanma fırsatını kaçırmazlar.

IOT problemlerinin harbilgileri 2015 yılında ön verilere göre, Blizzard Entertainment'teki son saldırı, IOT sınıfı cihazları kullanılarak gerçekleştirildi. Kötü amaçlı kod kaydedildi, modern çaydanlıklar ve ampuller üzerinde çalışıyor. Hacker'ın görevi yonga setleri basitleştirir. Çok uzun zaman önce, ucuz bir yonga seti serbest bırakıldı, bu da internet ile "iletişim kurabilen" çeşitli ekipmanlar için tasarlandı. Böylece, saldırganların 100 bin özelleştirilmiş ürün yazılımını kesmek zorunda değildir - bir yonga setini "kırmak yeterlidir ve buna dayanan tüm cihazlara erişmek yeterlidir.

Tüm akıllı telefonların daha yaşlı olduğu tahmin edilmektedir. android sürümleriminimum bir botnetten oluşacaktır. Tüm "Akıllı" soketler, buzdolapları ve diğer aletler. Birkaç yıl sonra, bir botnet su ısıtıcısı, Radyonya ve Multicurok'u bekliyor. "Şeylerin İnterneti" bize sadece kolaylık ve ek fırsatlar değil, aynı zamanda birçok problemi getirecek. IOT'teki işler birçok ve her pin 10 bayt gönderebileceğini, yeni güvenlik zorluklarının çözülmesi gerekecek. Ve bu bugün hazırlanmalıdır.

Giriş

Hemen bu incelemeyi yazdığımda, ilk önce izleyiciye odaklandıktan sonra, Telekom operatörlerinin ve veri iletim ağlarının çalışmasının özelliklerinde söküldüğünde, izleyiciye odaklandım. Bu makale, DDOS saldırılarına karşı korumanın temel ilkelerini, son on yıldaki gelişmelerinin tarihi ve durum şu anda.

DDOS nedir?

Muhtemelen bir DDOS saldırısının ne olduğu hakkında, bugün her "kullanıcının" olmadığını, daha sonra herhangi bir durumda olmadığını biliyor - her "o". Ancak birkaç kelimenin söylemesi gerekiyor.

DDOS ATTACKS (Dağıtılmış Servis Reddi - Dağıtımsal Candart Clocks - Bunlar, bunları meşru kullanıcılara erişilemez hale getirmeyi amaçlayan bilgisayar sistemlerine (ağ kaynakları veya iletişim kanalları) saldırılarıdır. DDOS saldırıları aynı anda, internette bulunan bir veya daha fazla bilgisayardan gelen çok sayıda isteğin belirli bir kaynağına doğru gönderilir. Binlerce, on binlerce veya milyonlarca bilgisayar aynı anda belirli bir sunucuya (veya şebeke servisine) göndermeye başlayacaksa, sunucuya dayanmaz ya da bu sunucuya yeterli iletişim kanalı bant genişliğine sahip değildir. Her iki durumda da, Internet kullanıcıları sunucuya saldırgan sunucuya veya hatta bloke edilmiş bir iletişim kanalı üzerinden bağlı tüm sunuculara ve hatta diğer kaynaklara erişemeyecektir.

DDOS saldırılarının bazı özellikleri

Kimseye karşı ve hangi amaç için DDOS saldırıları başlatılıyor?

DDOS saldırıları, internette sunulan herhangi bir kaynağa karşı çalıştırılabilir. DDOS-Attacks'in en büyük hasarı, işi doğrudan İnternet ile ilgili olan organizasyonları alır (İnternet Bankacılığı Hizmetleri), Online Alışveriş, alışveriş gerekçesiyle, açık artırmaların yanı sıra diğer aktiviteler, faaliyet ve etkinlik, internetteki temsileye (seyahat Airstrms, Havayolları, Ekipman Üreticileri ve Yazılımları vb.) DDOS saldırıları, bu tür devlerin kaynaklarına karşı düzenli olarak başlatılır. Dünya BT endüstrisi, IBM, Cisco sistemleri, Microsoft ve diğerleri gibi. Ebay.com'a, Amazon.com'a, birçok ünlü bankaların ve kuruluşlara karşı büyük bir DDOS saldırıları gözlendi.

Çok sık, DDOS saldırıları, siyasi kuruluşların, kurumların veya bireysel kişilerin web temsilcilerine karşı başlatılıyor. Gürcü Cumhurbaşkanı'nın 2008 yılında Gürcü Cumhurbaşkanı Savaşı'nda (Web Sitesi Ağustos 2008'den bu yana, Web Sitesi Ağustos 2008'den bu yana birkaç ay boyunca müsait değil), Estonya Hükümeti Sunucusu'na karşı Gürcü Cumhurbaşkanı'nın web sitesine karşı başlatılan büyük ve uzun vadeli DDOS saldırılarını biliyor. 2007, bir bronz askerin transferi ile ilişkili isyanlar sırasında), Kuzey Koreli ağ segmentinin Amerikan sitelerine karşı periyodik saldırılar hakkında.

DDOS saldırısının temel amacı, faydaların (doğrudan ya da dolaylı), şantaj ve gasple veya siyasi çıkarların zulmü, durumun deşarjı, intikam alınmasıdır.

DDOS-Saldırıların lansman mekanizmaları nelerdir?

DDOS saldırısını başlatmanın en popüler ve tehlikeli yolu, botnets (botnets) kullanımıdır. Botnet, özel yazılım yer imlerinin (botların) yüklendiği birçok bilgisayardır, İngilizce botnet'lerden çevrilmiş bir bot şebekesidir. Botlar genellikle her botnet için tek tek bilgisayar korsanları tarafından tasarlanır ve Botnet Management Server - Botnet komutu ve kontrol sunucusundan alınan komuttaki belirli bir İnternet kaynağına yönelik istek göndermenin temel amacına sahiptir. Botnet denetleyicisi bir hacker veya bu botnet'i bir bilgisayar korsanından satın alan bir kişiyi ve bir DDOS saldırısı yapabilme yeteneğini yönetir. Botlar, İnternete, çeşitli şekillerde, bir kural olarak, bir kural olarak, savunmasız hizmetlere sahip bilgisayarlara yapılan saldırılara, yazılım yer imlerini yükleyerek veya kullanıcıları aldatarak ve diğer hizmetlerin veya hatta oldukça zararsız veya hatta performans gösteren diğer hizmetler veya yazılımların kueti altında botları kurmalarını zorunlu hale getirerek uygular. faydalı özellik. Botların yayılmasının yöntemleri çok, yeni yollar düzenli olarak icat edilir.

Bir botnet yeterince büyükse - düzinelerce veya yüz binlerce bilgisayar - daha sonra tüm bu bilgisayarlardan eşzamanlı olarak, belirli bir şebeke servisi yönünde (örneğin, belirli bir sitedeki Web hizmeti), yorgunluğa neden olur. kaynakların veya servisin veya sunucunun kendisi veya yorgunluk fırsatlarını tüketme. Her durumda, hizmet kullanıcılar için kullanılamayacak ve hizmetin sahibi düz, dolaylı ve itibar zarar görür. Ve eğer bilgisayarların her biri bir istek değilse, saniyede onlarca, yüzlerce veya binlerce talepte bulunursa, daha sonra etki kuvveti saldırısı birçok kez artar, bu da en üretken kaynakları veya iletişim kanallarını bile gizlemeyi mümkün kılar.

Bazı saldırılar daha "zararsız" yollar başlatılır. Örneğin, belirli forumların kullanıcılarının Flash Mob, hangi sözleşmeyle belirli bir zamanda "ping" veya bilgisayarlarından belirli bir sunucuya yönelik diğer istekleri başlatır. Başka bir örnek, linklerin, kullanıcının hedef sunucuya akışına neden olan popüler İnternet kaynakları üzerine web sitesine yerleştirilmesidir. "Sahte" bağlantısı (harici olarak bir kaynağa bir bağlantı gibi görünüyorsa ve aslında tamamen farklı bir sunucuyu ifade ederse), küçük bir kuruluşun web sitesini ifade eder, ancak popüler sunuculara veya forumlara gönderilir, böyle bir saldırı istenmeyen bir site akışına neden olabilir bu siteye ziyaretçi.. Son iki türün saldırıları nadiren, düzgün organize edilmiş barındırma sitelerinde sunucuların mevcudiyetinin sona ermesine neden olur, ancak bu örnekler 2009'da ve Rusya'da bile.

DDOS-saldırılara karşı geleneksel teknik koruma araçları yardımcı olacaktır?

DDOS-ATTACK'in özelliği, her biri ayrı ayrı "kolayca", ayrıca, bu sorgular, en yaygın gerçeklere ait olmak için oldukça yaygın olabilecek bu sorgular (botlarla enfekte olmuş) göndermek için çeşitli eşzamanlı taleplerden oluşmalarıdır. veya saldırı hizmetinin veya kaynağın potansiyel kullanıcıları. Bu nedenle, DDOS saldırısının doğru şekilde tanımlandığını ve filtrelendiğini belirlemek çok zordur. Standart sistemler IDS / IPS sınıfı (izinsiz giriş algılama / önleme sistemi - ağ saldırısı algılama / önleme sistemi) bu sorgularda "suç kompozisyonu" sorgularında bulamayacak, nitel bir trafik analizi yapmadıkları sürece, saldırının bir parçası olduklarını anlamayacaklar. anomaliler. Ve bu olsa bile, gereksiz talepler de bu kadar basit değil - standart güvenlik duvarları ve yönlendiriciler iyi tanımlanmış erişim listeleri (kontrol kuralları) temelinde trafiği filtreleyin ve profiline adapte edildiğini bilmiyorum belirli bir saldırı. Güvenlik duvarları, kullanılan gönderenin adresleri gibi kriterlere göre trafik akışlarını ayarlayabilir. ağ hizmetleri, limanlar ve protokoller. Ancak normal internet kullanıcıları, en yaygın protokoller için istekleri gönderen DDOS saldırısına katılır - her şeyi ve her şeyi yasaklamak için aynı iletişim operatörü olmayacak mı? Sonra, abonelerine iletişim hizmetleri vermeyi durduracak ve onlar tarafından servis verilen ağ kaynaklarına erişim sağlayacak, ki, aslında saldırının başlatıcısını başarır.

Birçok uzman, muhtemelen trafikteki anomaliler tarafından keşfedilen, trafik profili ve bir saldırı profili ve bir sonraki dinamik çok aşamalı trafik filtreleme işleminin sürecini oluşturan DDOS-saldırılara karşı korunacak özel çözümlerin varlığının farkındadır. Ve bu makaledeki bu kararlar hakkında da konuşacağım, ancak daha sonra biraz daha sonra konuşacağım. Ve ilk olarak, bazı daha az bilinen, ancak bazen de, DDOS saldırılarını mevcut veri ağı ve yöneticileri araçlarıyla bastırmak için kabul edilebilecek oldukça etkili önlemler hakkında açıklanacaktır.

DDOS saldırılarına karşı koruma araçları

Bazı belirli durumlarda DDOS saldırılarını bastırmalarına izin veren birkaç mekanizma ve "püf noktaları" vardır. Bazıları yalnızca veri ağı, belirli bir üreticinin ekipmanına, daha az veya daha az evrensel olarak oluşturulduğunda kullanılabilir.

Cisco sistemlerinin önerileri ile başlayalım. Bu şirketin uzmanları, ağ kurma korumasını (kontrol düzlemi), ağ yönetim seviyesi (yönetim düzlemi) ve ağın veri seviyesini (veri düzlemi) içeren ağ kuruluş korumasını korumak için Ağ Vakfı Koruması sağlamayı önerir.

Yönetim Düzlem Koruması (Yönetim Düzlemi)

"Yönetim Seviyesi" terimi, kontrol veya izleme yönlendiricileri ve diğer ağ ekipmanlarını sağlayan tüm trafiği kapsar. Bu trafik yönlendiriciye doğru gönderilir veya yönlendiriciden gelir. Bu trafiğin örnekleri Telnet, SSH ve HTTP (S) oturumları, Syslog mesajları, SNMP-BADS'dir. Yaygın en iyi uygulamalar şunlardır:

Maksimum güvenlik ve izleme protokolleri güvenliği sağlamak, şifreleme ve kimlik doğrulama kullanımı:

  • sNMP V3 protokolü koruma araçları sağlarken, SNMP V1 pratik olarak sağlanmazken ve SNMP V2 yalnızca kısmen sunar - varsayılan topluluk değeri her zaman değiştirilmelidir;
  • kamu ve özel topluluk için çeşitli değerler kullanılmalıdır;
  • telnet protokolü, kullanıcı adı ve şifre de dahil olmak üzere tüm verileri açık formda (trafik kesilirse, bu bilgiler kolayca alınabilir ve kullanılabiliyorsa), bunun yerine SSH V2 protokolünün kullanılması önerilir;
  • benzer şekilde, HTTP yerine, ekipmanlara erişmek için HTTPS kullanın; Yeterli şifre, merkezi kimlik doğrulama, yetkilendirme ve hesap (AAA modeli) ve rezervasyon amacıyla yerel kimlik doğrulaması dahil olmak üzere sıkı donanım erişim kontrolü;

Rol çalma modelinin uygulanması;

Kaynak adresindeki izin verilen bağlantıların erişim kontrol listelerini kullanarak kontrolü;

Birçoğu varsayılan olarak etkin olan kullanılmayan hizmetleri devre dışı bırakın (veya sistemi teşhis ettikten veya ayarlandıktan sonra devre dışı bırakmayı unuttukları);

Ekipman kaynaklarının kullanımının izlenmesi.

Son iki noktada daha ayrıntılı kalmaya değer.
Varsayılan olarak etkin olan veya ekipman kurduktan veya teşhis yaptıktan sonra kapanmayı unutan bazı hizmetler, mevcut güvenlik kurallarını atlamak için davetsiz misafirler tarafından kullanılabilir. Aşağıdaki bu hizmetlerin listesi:

  • PAD (Paket Assembler / Disassembler);

Doğal olarak, bu hizmetleri kapatmadan önce, ağınıza ihtiyaçlarının yokluğunu dikkatlice analiz etmeniz gerekir.

Ekipman kaynaklarının kullanımının izlenmesi arzu edilir. Bu, önce aşırı yükü fark etmek için izin verecek bireysel unsurlar Ağlar ve kazaları önlemek için önlemler alın ve ikincisi, algılamaları özel yollarla sağlanmazsa, DDOS saldırılarını ve anomalilerini tespit edin. Minimum olarak, izlenmesi tavsiye edilir:

  • İşlemci Yükleme
  • hafıza kullanımı
  • yönlendiricilerin arayüzlerini yükleme.

İzleme "manuel olarak" olabilir (periyodik olarak ekipmanın durumunu izlemek), ancak özel ağ izleme sistemleriyle veya izleme ile yapmak daha iyi hale getirmek daha iyidir. bilgi Güvenliği (İkincisi Cisco Mars'u ifade eder).

Kontrol düzlemi (kontrol düzlemi)

Ağ yönetimi seviyesi, belirtilen topolojiye ve parametrelere uygun olarak, ağın işleyişini ve bağlantısını sağlayan tüm hizmet trafiğini içerir. Trafik kontrol trafiğinin örnekleri şunlardır: Bazı durumlarda tüm yönlendirme protokolleri dahil olmak üzere tüm yönlendirme işlemcisi (rota işlemcisi - RR) için üretilen veya amaçlanan tüm trafikler - sSH protokolleri ve SNMP, ICMP. Yönlendirme işlemcisinin işleyişine ilişkin herhangi bir saldırı ve özellikle DDOS saldırıları, ağın çalışmasında önemli sorunlar ve kesintiler içerebilir. Aşağıda kontrol seviyesini korumak için en iyi uygulamaları tarif edilmiştir.

Kontrol düzlemi polisliği.

Kumanda seviyesinin kontrol seviyesine daha yüksek bir öncelik sağlamak için QoS mekanizmalarını (Hizmet Kalitesi - Hizmet Kalitesi) kullanmaktır (bir kısmı saldırı). Bu, hizmet protokollerinin ve yönlendirme işlemcisinin çalışmasını sağlayacaktır, yani ağın topolojisini ve bağlantısını korumak ve paketlerin uygun şekilde yönlendirilmesi ve değiştirilmesi.

IP ACL alır

Bu işlevsellik, yönlendirici ve yönlendirme işlemcisi için amaçlanan servis trafiğinin filtrelemesine ve kontrolünü sağlar.

  • trafik yönlendirme işlemcisine ulaşmadan önce doğrudan yönlendirme ekipmanlarında zaten uygulanmıştır, "kişiselleştirilmiş" ekipman koruması sağlar;
  • trafikten sonra uygulanan normal erişim kontrol listeleri - yönlendirme işlemcisine yolundaki son koruma seviyesidir;
  • tüm trafiğe başvurun (ve iç ve dış ve şebeke operatör ağına geçiş).

Altyapı ACL

Genellikle, kendi yönlendirici ekipman adreslerine erişim, yalnızca kendi şebeke operatör ağının ana bilgisayarları için gereklidir, ancak (örneğin, EBGP, GRE, IPv6 üzerinden IPv4 ve ICMP tünelleri) istisnaları vardır. Altyapı Erişim Kontrol Listeleri:

  • genellikle şebeke operatör ağının sınırına ("ağın girişinde") kurulur;
  • operatörün altyapısının adresine harici ana bilgisayarlara erişimin önlenmesi amaçlanmıştır;
  • operatör ağının sınırında engelsiz transit trafik sağlamak;
  • rFC 1918, RFC 3330'da tarif edilen yetkisiz ağ aktivitesinden, özellikle, sahtekarlık koruması (sahte kaynak IP adreslerini kullanarak, saldırıya başladığınızda gizlemek için sahte kaynak IP adreslerini kullanarak) temel koruma mekanizmalarını sağlayın.

Komşu kimlik doğrulaması.

Komşu yönlendiricilerin kimlik doğrulamasının temel amacı, ağa yönlendirmeyi değiştirmek için sahte yönlendirme protokollerine atıfta bulunan saldırıların önlenmesidir. Bu tür saldırılar, yetkisiz penetrasyona izinsiz bir şekilde izin verebilir. ağ Kaynakları, ayrıca, saldırganın gerekli bilgileri analiz etmek ve elde etmek için trafiği yakalayacağı gerçeğinin yanı sıra.

BGP'yi ayarlama.

  • bGP ön ek filtreleme (BGP ön eki filtreler) - iletişim operatörünün iç ağı hakkında bilgi internete dağıtmaz (bazen bu bilgi saldırgan için çok faydalı olabilir);
  • başka bir yönlendiriciden (önek sınırlaması) kabul edilebilecek öneki sayısını kısıtlamak - Pyring ortağı ağlarındaki DDOS saldırılarına, anomalilere ve başarısızlıklara karşı korumak için kullanılır;
  • bGP topluluk parametrelerini kullanarak ve bunları filtreleme, rota bilgilerinin dağılımını sınırlamak için de kullanılabilir;
  • bGP izleme ve gözlemlenen trafiğe sahip BGP verilerinin karşılaştırılması, DDOS saldırılarının ve anomalilerin erken tespiti için mekanizmalardan biridir;
  • tTL parametresi (Live Time-Live) tarafından filtreleme - BGP ortaklarını kontrol etmek için kullanılır.

BGP protokolü üzerindeki saldırı, çıtır ortağı ağından başlatılırsa, ancak daha uzak bir ağdan, BGP paketlerdeki TTL parametresi 255'ten küçük olacaktır. Telekom operatörünün sınır yönlendiricilerini yapılandırabilir, böylece tüm bunları atabilirler. TTL değerine sahip BGP paketleri.< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Veri Seviyesi Koruması (Veri Düzlemi)

İdare ve kontrol seviyelerinin korunmasının önemine rağmen, ağ operatör ağındaki trafiğin çoğu, bu operatörün aboneleri için veri, transit veya tespit edilir.

Unicast Ters Yol Yönlendirme (URPF)

Genellikle, saldırılar bir sahte teknoloji kullanılarak başlatılır (sahtekarlık) - Kaynak IP adresleri tahrif edilir, böylece saldırının kaynağının izlenmesi imkansızdır. Falsified IP adresleri şunlar olabilir:

  • aslında kullanılan adres alanından, ancak başka bir ağ segmentinde (saldırının çalıştığı bölümde, bu sahte adresler yönlendirilmez);
  • bu ağda kullanılmayan adres alanından;
  • İnternete yönlendirilmeyen adres alanından.

URPF mekanizması yönlendiricilerinde uygulama, yönlendirici arayüzüne girdikleri ağın segmentinde uyumsuz veya kullanılmayan kaynak adresleriyle paket yönlendirmesini önler. Bu teknoloji bazen, istenmeyen trafiği kaynağına en yakın olan, yani en verimli olanı etkili bir şekilde filtreleyebilir. Birçok DDOS saldırısı (ünlü şirin ve kabile taşkın ağı dahil) bir kablolama mekanizması ve aldatmak için kaynak adreslerinin sürekli bir değişikliği kullanın. standart demek Trafiği koruma ve filtreleme.

URPF mekanizmasını telekom operatörleri tarafından kullanma İnternete erişimi sağlayan, internete erişimin, DDOS saldırılarını, kendi abonelerinin internet kaynaklarına karşı yönlendirdiği bir sahte teknoloji kullanılarak etkili bir şekilde önleyecektir. Böylece, DDOS saldırısı kaynağına en yakın bastırılır, bu, en etkilidir.

Remotenet tetiklenen Blackholes (RTBH)

Remotenet Tetiklenen Blackholes, bu trafiği özel NULL 0 arayüzlerine yönlendirerek ağa giren trafiği "bırakmak, yok etmek, yok etmek"). ağa girildiğinde. Bu yöntemin kısıtlaması (ve esası), saldırı hedefi olan belirli bir ev sahibi veya ana bilgisayar için tasarlanan tüm trafiğe uygulanmasıdır. Böylece, bu yöntem, büyük bir saldırının bir veya daha fazla ana bilgisayara maruz kaldığı durumlarda kullanılabilir, bu da yalnızca saldırgan ana bilgisayarlar için değil, aynı zamanda genel olarak diğer aboneler ve şebeke operatörü ağları için de sorunlara neden olur.

Kara delikler hem manuel olarak hem de BGP protokolü üzerinden kontrol edilebilir.

QoS politikası BGP (QPPB) ile yayılımı

BGP (QPPB) aracılığıyla QOS kontrolü, belirli bir özerk sistem için tasarlanan trafik için öncelikli politikaları yönetmek veya IP adreslerini engellemek için canlandırıcıdır. Bu mekanizma, telekom operatörleri ve büyük işletmeler için, istenmeyen trafik veya DDOS saldırısı içeren trafik için öncelik seviyelerini yönetmek de dahil olmak üzere büyük işletmeler için çok faydalı olabilir.

Delikleri batır.

Bazı durumlarda, kara delikler kullanarak trafiği tamamen temizlememesi gerekmektedir, ancak daha sonra izleme ve analiz için ana kanallardan veya kaynaklardan uzaklaştırmak için gereklidir. Bunun için "musluk kanalları" veya lavabo deliklerinin amaçlandığı içindir.

Lavabo delikleri aşağıdaki durumlarda en sık kullanılır:

  • ağ operatör ağının adres alanına ait olan hedefin adresleri ile trafiğin yanına ve analizini çıkarmak için, ancak aynı zamanda gerçekten kullanılmaz (ne ekipman veya kullanıcılar vurgulanmadı); Bu tür trafik, çoğunlukla, şebekenizi taramaya ya da nüfuz etmeye çalışmayı, yapısı hakkında ayrıntılı bilgi sahibi olmayan bir saldırganın;
  • trafiği, aslında kaynak operatörü ağında, izleme ve analizi için harekete geçiren trafiği yönlendirmek.

Özel araçlar kullanarak DDOS koruması

Cisco Temiz Borular Kavramı - Sanayi Sporu

DDOS-Atak'a karşı modern koruma kavramı gelişti (evet, evet, şaşırmadınız! :)) Cisco Systems Company. Cisco tarafından geliştirilen Concept Cisco Clean Borues ("Arıtılmış Kanallar") olarak adlandırıldı. Neredeyse 10 yıl önce geliştirilen kavramda, çoğu zaman diğer üreticileri de dahil olmak üzere bugün kullanılan trafikte anormal anormalliklere karşı koruma temel ilkeleri ve teknolojisi ayrıntılı olarak açıklanmıştır.

Cisco Temiz Borular konsepti, aşağıdaki DDOS saldırılarının tespiti ve bastırma ilkelerini önerir.

Puan seçilir (ağ siteleri), anomalilerin tanımlanması için analiz edilen trafik. Korunmadığımız gerçeğine bağlı olarak, bu noktalarla, iletişim operatörünün üstün operatörlerle, daha düşük ifadelerin veya abonelerin bağlantı noktaları, veri merkezlerini ağa bağlama kanalları ile birlikte pyring bağlantıları olabilir.

Özel dedektörler, bu noktalardaki trafiği analiz eder, normal durumunda Trafik profilini oluşturun (çalışma), DDOS saldırısı veya anomalisi göründüğünde - tespit eder, çalışmalarını ve dinamik olarak özelliklerini oluşturur. Ayrıca, bilgi sistem operatörü tarafından analiz edilir ve yarı otomatik veya otomatik modda, saldırı bastırma işlemi başlatılır. Bastırma, "mağdur" için tasarlanan trafiğin, dedektörün oluşturduğu filtreleme cihazı aracılığıyla dinamik olarak yönlendirildiğine ve bu saldırının bireysel karakterini yansıtan bu trafiğe kullanılmasıdır. Arıtılmış trafik ağa girilir ve alıcıya gönderilir (çünkü Temiz Borular kaynaklar - Abone, bir saldırı içermeyen bir "temiz kanal" alır.

Böylece, tüm DDOS saldırı koruma döngüsü aşağıdaki ana aşamaları içerir:

  • Trafikin Eğitim Kontrol Özellikleri (Profillendirme, Temel Öğrenme)
  • Tespit Algılama ve Anomaliler (Algılama)
  • Temizleme cihazından geçmek için dağıtım yönlendirmesi (saptırma)
  • Saldırıları bastırmak için trafik filtreleme (azaltma)
  • Trafiği ağa geri girin ve muhatap gönder (enjeksiyon).

N Temel özellikler.
Dedektörler olarak iki cihaz türü kullanılabilir:

  • Cisco Systems Üretim Dedektörleri - Cisco Traffic Anomaly Dedektörü Hizmetler Cisco 6500/7600 şasisinde kurulum amaçlı modül hizmet modülleri.
  • Arbor Ağları Üretim Dedektörleri - Arbor Peakflow SP CP Cihazları.

Aşağıda Cisco ve Arbor dedektörlerini karşılaştıran bir masa bulunmaktadır.

Parametre

Cisco Trafik Anomali Dedektörü

Arbor Peakflow SP CP

Analiz için trafik bilgisi almak

Cisco 6500/7600 şasisinde tahsis edilen trafik kopyası

ROUTERS'tan alınan trafik üzerindeki netflow verileri, numuneyi ayarlamasına izin verilir (1: 1, 1: 1 000, 1: 10.000, vb.)

Kullanılan algılama prensipleri

Alarm analizi (yanlış kullanım algılama) ve anomalilerin tespiti (dinamikprofilleme)

Esas olarak anomalilerin tespiti; Antared analiz kullanılır, ancak imzalar geneldir

Form faktörü

Şasi Cisco 6500/7600'teki Servis Modülleri

ayrı Cihazlar (Sunucular)

Verim

2 Gbps'ye kadar trafiği test edin

Pratik olarak sınırsız (örnekleme oranını azaltabilirsiniz)

Ölçeklenebilirlik

4 modüle kadar kurulumCisco.DedektörSm. Bir şasi (ancak modüller birbirinden bağımsız olarak hareket eder)

Birden birden fazla aygıtı, biri lider durumuna atanan tek bir analiz sistemi içinde kullanma yeteneği

Trafik ve Yönlendirme İzleme

İşlevsellik pratik olarak yok

İşlevsellik çok gelişmiştir. Birçok telekom operatörü, trafiğin izlenmesinde ve ağa yönlendirilmesindeki derin ve gelişmiş fonksiyonel nedeniyle Arbor Peakflow Sp'yi satın aldı.

Portalın sağlanması (bir abonenin yalnızca ağın doğrudan göreceli kısmını doğrudan izlemek için bireysel arayüzü)

Sağlanmadı

Sağlanan. Bu çözümün ciddi bir avantajıdır, çünkü iletişim operatörü bireysel DDOS koruma hizmetlerini abonelerine satabilir.

Uyumlu Trafik Temizleme Cihazları (Saldırı Bastırma)

Cisco. Muhafız Hizmetleri Modülü.

 Arbor Peakflow SP TMS; Cisco Guard Services modülü.
Veri Merkezleri Koruma (Veri Merkezi) İnternete bağlanırken Abone ağlarının aşağı akış bağlantılarını ağ operatör ağına izlemek Saldırıların Tespitiyukarıya doğru- Bağlantılar Ağ operatörü daha yüksek sağlayıcılar ağlarına Şebeke operatörünün izlenmesi
Tablonun son satırı, Cisco Systems tarafından önerilen Cisco Dedektörlerinin ve Arbor'dan kullanılmasını göstermektedir. Komut dosyası verileri aşağıdaki şemaya yansıtılır.

Bir Cisco trafik temizleme cihazı olarak, Cisco 6500/7600 şasisinde kurulu olan Cisco Guard Service Modülünün kullanılması ve Cisco Dedektörü Dedektöründen veya Arbor Peakflow SP CP'sinden alınan komutun dinamik bir yönlendirme, temizlik ve Ağa trafik girişini ters çevirin. Yeniden Yönlendirme mekanizmaları, daha yüksek yönlendiricilere doğru BGP güncellemeleri veya özel protokolü kullanarak süpervizöre doğru yöneticilerdir. BGP güncellemelerini kullanırken, yukarı yönlendirici, saldırıyı içeren trafik için yeni Nex-Hop değeri ile gösterilir - böylece bu trafik temizleme sunucusuna düşer. Aynı zamanda, bu bilgilerin döngünün organizasyonu gerektirmemesine dikkat etmek gerekir (böylece aşağı yönlendirici, temizlenecek şekilde bu trafiği temizleme cihazında bu trafiği tamamlamaya çalışmaz). Bu amaçla, BGP güncellemelerinin topluluk parametresine göre dağıtımını kontrol etme mekanizmaları veya temizlenmiş trafiğe girerken GRE-tünelleri kullanır.

Böyle bir durum, arbor ağları Peakflow SP ürün hattını önemli ölçüde genişletin ve DDOS saldırılarına karşı koruma konusunda tamamen bağımsız bir kararla pazara gitmedi.

Arbor Peakflow SP TMS Görünüm

Birkaç yıl önce, Arbor Networks, DDOS saldırılarına karşı korumaya karşı korumak için ürün hattını geliştirmeye karar verdi ve bu yönden Cisco'dan bu yönün gelişiminin ve kalkınmasının politikasından bağımsız olarak. Peakflow SP CP çözümleri, numune frekansını düzenleme olasılığı ile akış bilgisini analiz ederken, Cisco dedektörü üzerinde temel avantajlara sahiptir; bu, ağlarda ve gövde kanallarında iletişim operatörlerinin kullanımında herhangi bir kısıtlama olmadığı anlamına gelir (Cisco'nun aksine) Trafik kopyasını analiz eden dedektör). Ek olarak, Peakflow sp'un ciddi avantajı, operatörlerin bireysel izleme hizmetlerini abonelere satma ve ağ bölümlerini korur.

Bunlar veya diğer hususlar göz önüne alındığında, Arbor, Peakflow SP ürün hattını önemli ölçüde genişletti. Bir dizi yeni cihaz ortaya çıktı:

Peakflow SP TMS (Tehdit Yönetim Sistemi) - DDOS saldırılarını, Peakflow SP CP'den elde edilen verilere ve ARBOR ağlarının sahip olduğu ve internetteki DDOS saldırılarını izlemek ve analiz etmek;

Peakflow SP Bi (İş Zekası)- Sistem ölçeklendirilmesini sağlayan cihazlar, izlenecek mantıksal nesnelerin sayısını arttırır ve toplanan ve analiz edilen verilerin fazlalığı sağlama;

Peakflow SP PI (Portal Arayüzü)- Kendi güvenliğini yönetmek için bireysel bir arayüze sahip olan abonelerde bir artış sağlayan cihazlar;

Peakflow SP FS (Akış Sansürü)- Abone yönlendiricilerin izlenmesini, düşük ağlara ve veri işleme merkezlerine bağlantılarını sağlayan aygıtlar.

Arbor Peakflow SP sisteminin işletme ilkeleri, çoğunlukla Cisco temiz borularla aynı kalmıştır, ancak Arbor düzenli olarak sistemlerini geliştirir ve geliştirirler, bu nedenle arbor ürünlerinin birçok parametrede işlevselliği, performans da dahil olmak üzere Cisco'dan daha iyidir.

Bugüne kadar, maksimum performans Cisco Guard Modets, bir Cisco 6500/7600 şasisinde 4 koruma modülünün bir küme oluşturulması durumunda, bu cihazların tam kümelenmesi uygulanmaz. Aynı zamanda, Arbor Peakflow SP TMS'nin üst modelleri, 10 GB / S'ye kadar kapasiteye sahiptir ve sırayla küme olabilir.

Arbor, kendimi, ddos \u200b\u200bsaldırılarını tespit etmek ve bastırmak için piyasada bağımsız bir oyuncu olarak konumlandırmaya başladıktan sonra, Cisco, ağ trafiğinde akış verilerinin gerekli izlenmesi olarak sağlayacak bir ortak aramaya başladı, ancak doğrudan olmazdı. yarışmacı. Böyle bir şirket, bir akış-veri veritabanı izleme sistemi (NarusStight) üreten Narus haline geldi ve Cisco Systems ile ortaklığa girdi. Ancak, bu ortaklık piyasada ciddi bir gelişme ve varlık almadı. Ayrıca, bazı mesajlara göre, Cisco, Cisco Dedektörüne ve Cisco Guard çözümlerine yatırım yapmayı planlamaz, aslında bu nişi şirket arbor ağları şirketinin şirketine bırakarak.

Cisco ve Arbor Çözümlerinin Bazı Özellikleri

Cisco ve Arbor Çözümlerinin bazı özelliklerine dikkat ediyor.

  1. Cisco Guard, dedektörle birlikte ve bağımsız olarak kullanılabilir. İkinci durumda, çevrimiçi modda kurulur ve trafiği analiz eden dedektörün işlevlerini gerçekleştirir ve gerekirse filtreleri açar ve trafiği temizler. Bu modun eksi, öncelikle, ek bir nokta potansiyel olarak başarısızlık eklenir ve ikinci olarak ek trafik gecikmesi (filtrasyon mekanizması açık olduğu sürece küçük olmasına rağmen). Cisco Guard Mode için önerilir - Bir komutun saldırıyı içeren trafiği yönlendirmek, filtreleme ve ağa girin.
  2. Arbor Peakflow SP TMS cihazları hemfikir modunda hem de çevrimiçi modda da çalışabilir. İlk durumda, cihaz pasif olarak bir komutun, bir trafiği, bir saldırı içeren bir trafiği, ağa geri döndürmek ve girmek için bir trafiği yönlendirmesini bekler. İkincisinde, kendiliğinden tüm trafiğin arasından atlar, buna dayanarak arborflow temelinde veri üretir ve saldırıları analiz etmek ve tespit etmek için Peakflow SP CP'ye iletir. Arborflow, Netflow'a benzer bir formattır, ancak tepe akışı SP sistemleri için Arbor tarafından geliştirilmiştir. Trafik izleme ve tespit saldırıları, TMS verilerinden elde edilen arborflow verilerine dayanan peakflow SP CP'yi gerçekleştirir. Bir saldırı tespit edildiğinde, Peakflow SP CP operatörü, TMS'leri filtreleri açar ve trafiği saldırıdan uzaklaştırır. Cisco'dan farklı olarak, Peakflow SP TMS sunucusu bağımsız olarak çalışamaz, trafik analizini gerçekleştiren çalışmak için bir Peakflow SP CP sunucusu gerektirir.
  3. Günümüzde çoğu uzman, ağın yerel alanlarını koruma görevlerinin (örneğin, CD'leri veya aşağı akış ağlarının bağlantısını bağlayan)

Benzer makaleler