Distributed Denial of Service attack.
Основополагающими концепциями кибер-безопасности являются доступность, целостность и конфиденциальность. Атаки «отказ в обслуживании» (DoS) влияют на доступность информационных ресурсов. Отказ в обслуживании считается успешным, если он привел к недоступности информационного ресурса. Успешность атаки и влияние на целевые ресурсы отличаются тем, что влияние наносит жертве урон. Например, если атакуется интернет-магазин, то длительный отказ в обслуживании может причинить финансовые убытки компании. В каждом конкретном случае DoS-активность может либо непосредственно причинить вред, либо создать угрозу и потенциальный риск нанесения убытков.
DDoS (Distributed Denial of Service attack) – это целенаправленный комплекс действий для выведения из строя, сбоя работы интернет-ресурса. Жертвой может стать любой ресурс, в том числе интернет-магазин, государственный сайт или игровой сервер. В большинстве подобных случаев злоумышленник использует для таких целей сеть компьютеров, которые заражены вирусом. Такая сеть называется ботнет. В нем присутствует координирующий главный сервер. Для запуска атаки хакер отправляет команду такому серверу, который в свою очередь дает сигнал каждому боту начать выполнение вредоносных сетевых запросов.
Причин для осуществления DDoS-атаки может быть много.
Например:
Атаки, вошедшие в историю Интернет.
Мы собрали краткое описание наиболее интересных случаев, которые вошли в историю DDoS-атак. Часть из них может показаться обычными по современным меркам, но во время, когда они происходили, это были очень масштабные атаки.
Виды DDoS атак - обобщенная классификация.
Существует различные виды атак: по типам трафика, по уровням OSI, по спектру атакуемых объектов. В этой статье мы постараемся рассмотреть их все и привести наиболее эффективные в каждом случае способы защиты.
Самые распространённые виды DDoS атак можно условно разделить на 3 основные категории:
Этот вид атак основан на использовании уязвимостей различных операционных систем и приложений (Apache, Windows, OpenBSD). На работу ресурса они влияют опосредованно, но от этого не менее эффективно – в случае отказа важного приложения или всей системы вцелом, ресурс или его часть становятся недоступными и не отвечают на запросы пользователей. Эффективность таких атак очень высока, а отследить их чрезвычайно сложно благодаря «точечному» воздействию. Кроме того, они не требуют большого количества ресурсов для своей реализации.
Уровень воздействия для атак из этой категории измеряется в количестве запросов за единицу времени.
Например, Slowloris (один из видов атак на веб сервера), способен «завесить» сервер благодаря использованию уязвимости в его архитектуре (актуально для Apache первой и второй версии, Squid, dhttpd, и GoAhead WebServer). Веб-серверы на основе Apache имеют ограничение по количеству открытых подключений. Бомбардируя сервер большим количеством пакетов данных с определенной периодичностью, хакер может «завесить» его на неопределённое время. Причем уровень загрузки процессора в данном случае будет относительно невысоким – сервер просто будет бесконечно ожидать закрытия активных подключений. Для проведения атаки такого уровня будет достаточно одного среднестатистического ПК с определенным набором программ. Использование последних версий Apache, где эта уязвимость устранена, или организация работы сервера на базе lighttpd позволит не переживать по поводу работы Slowloris. Данный пример здесь присутствует только для ознакомления с механизмом воздействия, потому что производители программных продуктов стараются оперативно реагировать на выкладываемую в сети информацию. И при выявлении подобного рода уязвимостей – выпускать так называемые «заглушки», предохраняющие от хакерских атак, в кратчайшие сроки. Чтобы защититься от DDoS атак на уровне приложений, необходимо предусмотреть фильтрацию входящего трафика, как на уровне сервера, так и с привлечением сторонних ресурсов.
SYN флуд, icmp flood и другие DDoS атаки уровня протоколов
Уже из названия понятно, что уязвимость ищется в протоколах, по которым работает сервер. Атаки подобного рода ориентированы на поглощение ресурсов сервера или промежуточных серверов (оборудования). Суть действий злоумышленников проста – пока обрабатываются пакеты, отправленные хакером, пакеты от пользователей ждут своей очереди. Если количество отправленных злоумышленниками пактов значительно превысит количество пакетов от обычных пользователей, время ожидания ответа от сервера у пользователей станет непозволительно большим.
Наиболее распространёнными примерами таких атак пинг смерти, SYN флуд, icmp flood и другие. Уровень воздействия здесь измеряется в количестве пакетов на единицу времени. Для защиты от нападений подобного рода подходят различные алгоритм фильтрации входящего трафика на аппаратном уровне. Еще один вариант – воспользоваться услугами специальных сервисов, специализирующихся на фильтрации трафика от «флуда»
Атака udp flood в сегменте объемных DDoS
Этот тип атак направлен на превышение пропускной способности канала. Примерами атак этого вида относятся различные виды «флудов»: SYN, UDP, ICMP, MAC и другие. Например, атака udp flood. Для нее характерна бомбардировка портов удаленного хоста большим количеством UDP - пакетов. Так как в протоколе UDP не предусмотрена защита от перегрузок, трафик от злоумышленника постепенно вытесняет запросы от обычных пользователей. Сохранить анонимность атакующих хостов можно, подменив IP-адреса источников, указанные в UDP – пакетах.
Возможности злоумышленников растут соизмеримо с развитием технологий. Если в 2002 году атака со скоростью 400Мбит/с считалась практически непреодолимой, то современные дата-центры подвергаются атаками со скоростью до 100Гбит/с. Эффективность объёмной DDoS атаки измеряется в количестве бит за единицу времени.
Наиболее эффективным способом защиты от нападений подобного рода – использование специализированных фильтров на уровне дата-центров или сторонних сервисов, предоставляющих такие услуги.
Основополагающими концепциями кибер-безопасности являются доступность, целостность и конфиденциальность. Атаки «отказ в обслуживании» (DoS) влияют на доступность информационных ресурсов. Отказ в обслуживании считается успешным, если он привел к недоступности информационного ресурса. Успешность атаки и влияние на целевые ресурсы отличаются тем, что влияние наносит жертве урон. Например, если атакуется интернет-магазин, то длительный отказ в обслуживании может причинить финансовые убытки компании. В каждом конкретном случае DoS-активность может либо непосредственно причинить вред, либо создать угрозу и потенциальный риск нанесения убытков.
DDoS (Distributed Denial of Service attack) – это целенаправленный комплекс действий для выведения из строя, сбоя работы интернет-ресурса. Жертвой может стать любой ресурс, в том числе интернет-магазин, государственный сайт или игровой сервер. В большинстве подобных случаев злоумышленник использует для таких целей сеть компьютеров, которые заражены вирусом. Такая сеть называется ботнет. В нем присутствует координирующий главный сервер. Для запуска атаки хакер отправляет команду такому серверу, который в свою очередь дает сигнал каждому боту начать выполнение вредоносных сетевых запросов.
Причин для осуществления DDoS-атаки может быть много.
Например:
- для развлечения. Примитивную атаку может организовать каждый, кто хоть немного разбирается в данной области. Правда, такая атака не анонимна и не эффективна, а те, кто ее совершают могут даже не догадываться об этом. Часто такие ситуации практикуют школьники для развлечения. Целью такой “забавы” может стать практически любой сайт в Интернете.
- из-за личной неприязни. DDoS-атака на Ваш сайт может быть и по такой причине. Мало ли кому Вы перешли дорогу, это могут сделать и конкуренты, и любые другие люди, которым Ваш интернет-ресурс “не по душе”.
- ради шантажа или вымогательства. Мошенники шантажируют в большинстве случаев крупные компании. Они требуют плату за то, чтобы прекратить атаку на сервера или за ее несовершение.
- недобросовестная конкуренция. Часто такие атаки создаются для разрушения репутации сайта и потери клиентопотока.
Атаки, вошедшие в историю Интернет.
Мы собрали краткое описание наиболее интересных случаев, которые вошли в историю DDoS-атак. Часть из них может показаться обычными по современным меркам, но во время, когда они происходили, это были очень масштабные атаки.
- Пинг смерти (Ping Of Dead). Способ атаки, базирующийся на использовании команды ping. Эта атака получила популярность в 1990-х годах, благодаря несовершенству сетевого оборудования. Суть атаки заключается в отправке на сетевой узел одного запроса ping, при этом в тело пакета включаются не стандартные 64 байта данных, а 65535 байт. При получении такого пакета у оборудования переполнялся сетевой стэк и что вызывало отказ в обслуживании.
- Атака, повлиявшая на стабильность работы Интернет. В 2013 году компания Spamhaus стала жертвой атаки мощностью более 280 Гбит/с. Самое интересное то, что для атаки хакеры использовали DNS-сервера из сети интернет, которые в свою очередь были очень загружены большим количеством запросов. В те сутки миллионы пользователей жаловались на медленно загружающиеся страницы в связи с перегруженности службы DNS.
- Рекордная атака с трафиком более 1 Тбит/с. В 2016 году хакеры пытались атаковать нас пакетной атакой со скоростью 360 Mpps и 1 Тбит/с. Эта цифра стала рекордной за время существования Интернет. Но и под такой атакой мы устояли и нагрузка на сеть лишь незначительно ограничила свободные ресурсы сетевого оборудования.
Виды DDoS атак - обобщенная классификация.
Существует различные виды атак: по типам трафика, по уровням OSI, по спектру атакуемых объектов. В этой статье мы постараемся рассмотреть их все и привести наиболее эффективные в каждом случае способы защиты.
Самые распространённые виды DDoS атак можно условно разделить на 3 основные категории:
- Уровень приложений.
- Уровень протоколов.
- Объемные.
Этот вид атак основан на использовании уязвимостей различных операционных систем и приложений (Apache, Windows, OpenBSD). На работу ресурса они влияют опосредованно, но от этого не менее эффективно – в случае отказа важного приложения или всей системы вцелом, ресурс или его часть становятся недоступными и не отвечают на запросы пользователей. Эффективность таких атак очень высока, а отследить их чрезвычайно сложно благодаря «точечному» воздействию. Кроме того, они не требуют большого количества ресурсов для своей реализации.
Уровень воздействия для атак из этой категории измеряется в количестве запросов за единицу времени.
Например, Slowloris (один из видов атак на веб сервера), способен «завесить» сервер благодаря использованию уязвимости в его архитектуре (актуально для Apache первой и второй версии, Squid, dhttpd, и GoAhead WebServer). Веб-серверы на основе Apache имеют ограничение по количеству открытых подключений. Бомбардируя сервер большим количеством пакетов данных с определенной периодичностью, хакер может «завесить» его на неопределённое время. Причем уровень загрузки процессора в данном случае будет относительно невысоким – сервер просто будет бесконечно ожидать закрытия активных подключений. Для проведения атаки такого уровня будет достаточно одного среднестатистического ПК с определенным набором программ. Использование последних версий Apache, где эта уязвимость устранена, или организация работы сервера на базе lighttpd позволит не переживать по поводу работы Slowloris. Данный пример здесь присутствует только для ознакомления с механизмом воздействия, потому что производители программных продуктов стараются оперативно реагировать на выкладываемую в сети информацию. И при выявлении подобного рода уязвимостей – выпускать так называемые «заглушки», предохраняющие от хакерских атак, в кратчайшие сроки. Чтобы защититься от DDoS атак на уровне приложений, необходимо предусмотреть фильтрацию входящего трафика, как на уровне сервера, так и с привлечением сторонних ресурсов.
SYN флуд, icmp flood и другие DDoS атаки уровня протоколов
Уже из названия понятно, что уязвимость ищется в протоколах, по которым работает сервер. Атаки подобного рода ориентированы на поглощение ресурсов сервера или промежуточных серверов (оборудования). Суть действий злоумышленников проста – пока обрабатываются пакеты, отправленные хакером, пакеты от пользователей ждут своей очереди. Если количество отправленных злоумышленниками пактов значительно превысит количество пакетов от обычных пользователей, время ожидания ответа от сервера у пользователей станет непозволительно большим.
Наиболее распространёнными примерами таких атак пинг смерти, SYN флуд, icmp flood и другие. Уровень воздействия здесь измеряется в количестве пакетов на единицу времени. Для защиты от нападений подобного рода подходят различные алгоритм фильтрации входящего трафика на аппаратном уровне. Еще один вариант – воспользоваться услугами специальных сервисов, специализирующихся на фильтрации трафика от «флуда»
Атака udp flood в сегменте объемных DDoS
Этот тип атак направлен на превышение пропускной способности канала. Примерами атак этого вида относятся различные виды «флудов»: SYN, UDP, ICMP, MAC и другие. Например, атака udp flood. Для нее характерна бомбардировка портов удаленного хоста большим количеством UDP - пакетов. Так как в протоколе UDP не предусмотрена защита от перегрузок, трафик от злоумышленника постепенно вытесняет запросы от обычных пользователей. Сохранить анонимность атакующих хостов можно, подменив IP-адреса источников, указанные в UDP – пакетах.
Возможности злоумышленников растут соизмеримо с развитием технологий. Если в 2002 году атака со скоростью 400Мбит/с считалась практически непреодолимой, то современные дата-центры подвергаются атаками со скоростью до 100Гбит/с. Эффективность объёмной DDoS атаки измеряется в количестве бит за единицу времени.
Наиболее эффективным способом защиты от нападений подобного рода – использование специализированных фильтров на уровне дата-центров или сторонних сервисов, предоставляющих такие услуги.
