Бортовий журнал. DDoS-атаки: напад та захист Захист від DDoS-атак наявними засобами

Ми багато розповідаємо про атаки на сайт, злом і але тематика DDOS у нас не згадувалася. Сьогодні ми виправляємо це положення та пропонуємо вам повний огляд технологій організації ДДОС атак та відомих інструментів для виконання атак хакерів.

Переглянути листинг доступних інструментів для DDOS атак в KALI ви можете, виконавши команду:

Для перегляду доступних інструментів ДДОС атаки Linux вводимо:

2. LOIC

The Low Orbit Ion Cannon (LOIC) Низько-орбітальна іонна гармата. Можливо найпопулярніша програма DDOS. Вона може розсилати масові запити за протоколами ICMP, UDP цим забиваючи канал до сервера жертви. Найвідоміша атака за допомогою LOIC була здійснена групою Anonymous у 2009 році і спрямована проти PayPal, Visa, MasterCard на помсту за відключення WikiLeaks від системи збору пожертвувань.

Атаки, організовані за допомогою LOIC, можуть утилізуватися за допомогою блокування UDP та ICMP пакетів на мережному обладнанні інтернет-провайдерів. Ви можете завантажити саму програму LOIC безкоштовно на сайті. Цей інструмент на базі Windows і робота з ним дуже проста, вказуєте сайти жертви і натискаєте одну кнопку.

2. HOIC

HOIC був розроблений у ході операції Payback by Praetox тією самою командою, що створила LOIC. Ключова відмінність у тому, що HOIC використовує протокол HTTP і з його допомогою посилає потік рандомізованих HTTP GET і POST запитів. Він здатний одночасно вести атаку на 256 доменів. Ви можете завантажити його з .

3. XOIC

XOIC є ще один дуже простий DDOS інструмент. Користувачеві необхідно просто встановити IP адресу жертви, вибрати протокол (HTTP, UDP, ICMP, or TCP), та натиснути на спусковий гачок! Завантажити його можна з

5. HULK

6. UDP Flooder

UDP Flooder відповідає своїй назві - інструмент призначений для відсилання множини UDP пакетів до мети. UDP Flooder часто використовується при атаках DDOS на ігрові сервери, для відключення гравців від сервера. Для завантаження програма доступна на .

7. RUDY

8. ToR's Hammer

ToR's Hammer був створений для роботи через мережу, з метою досягнення великої анонімності атакуючого. Проблема даного інструменту в тому, що мережа TOR є досить повільною і тим самим знижує ефективність ДДОС атаки. Завантажити цю програму DDOS ви можете з сайтів Packet Storm або .

9. Pyloris

Pyloris це ще один ддос інструмент використовуючий новий підхід. Він дозволяє атакуючій створити свій унікальний HTTP запит. Потім програма намагатиметься утримувати TCP з'єднання відкритим за допомогою таких запитів, тим самим зменшувати кількість доступних з'єднань на сервері. Коли ліміт з'єднань сервера добігає кінця, сервер більше не може обслуговувати з'єднання і сайт стає недоступним. Даний інструмент доступний безкоштовно для завантаження з сайту.

10. OWASP Switchblade

Open Web Application Security Project (OWASP) та ProactiveRISK розробили інструмент. Switchblade DoS toolдля тестування WEB додатків на стійкість до ДДОС атак.Він має три режими роботи: 1. SSL Half-Open, 2. HTTP Post, та 3. Slowloris. Завантажити для ознайомлення можна з сайту OWASP.

11. DAVOSET

12. GoldenEye HTTP DoS Tool

13. THC-SSL-DOS

Ця програма для ДДОС (іде в постачанні Kali) і відрізняється від більшості інструментів DDOS тим, що вона не використовує пропускну здатність інтернет каналу і може бути використана з одного комп'ютера. THC-SSL-DOS використовує вразливість протоколу SSL і здатна “покласти” цільовий сервер. Якщо, звичайно, ця вразливість на ньому є. Завантажити програму можна з сайту THC або використовувати KALI Linux де цей інструмент вже встановлений.

14. DDOSIM – Layer 7 DDoS емулятор

На цьому наш огляд закінчується, але в майбутньому ми ще повернемося до теми атак ДДОС на сторінках нашого блогу.

DDOS атака. Пояснення та приклад.

Всім привіт. Це блог Комп'ютер76 і зараз чергова стаття про основи хакерського мистецтва. Сьогодні ми поговоримо про те, що таке DDOS атака простими словами та прикладами. Перед тим, як кидатися спеціальними термінами, буде запровадження, зрозуміле кожному.

Навіщо використовується атака DDOS?

Злом WiFi використовується для забору пароля бездротової мережі. Атаки у формі “ ” дозволять слухати інтернет-трафік. Аналіз уразливостей з наступним підвантаженням конкретного дає можливість захоплення цільового комп'ютера. А що робить DDOS атака? Її мета зрештою – добір прав на володіння ресурсом у законного господаря. Я не маю на увазі, що сайт або блог вам не належатиме. Це в тому сенсі, що у випадку успішно проведеної атаки на ваш сайт, ви втратите можливість ним керувати. Принаймні на деякий час.

Однак у сучасній інтерпретації DDOS атака найчастіше застосовується порушення нормальної роботи будь-якого сервісу. Хакерські групи, назви яких постійно на слуху, нападають на великі урядові або державні сайти з метою привернути увагу до тих чи інших проблем. Але майже завжди за такими атаками стоїть суто меркантильний інтерес: робота конкурентів або прості витівки з непристойно незахищеними сайтами. Головна концепція DDOS у тому, що до сайту одночасно звертається дуже багато користувачів, а точніше запитів із боку комп'ютерів-ботів, що робить навантаження на сервер неподъемным. Ми нерідко чуємо вираз "сайт недоступний", проте мало хто замислюється, що приховано насправді за цим формулюванням. Ну, тепер ви знаєте.

DDOS атака – варіанти

Варіант 1.

гравці стовпилися біля входу

Уявіть, що ви граєте в розраховану на багато користувачів онлайн гру. Із вами грають тисячі гравців. І з більшістю їх ви знайомі. Ви обговорюєте деталі та в годину Х провадите наступні дії. Ви все одноразово заходите на сайт і створюєте персонаж з одним і тим же набором характеристик. Групуєтеся в одному місці, блокуючи своєю кількістю одночасно створених персонажів доступ до об'єктів у грі іншим сумлінним користувачам, які про вашу змову нічого не підозрюють.

Варіант 2.

Уявіть, що комусь надумалося порушити автобусне сполучення в місті за певним маршрутом з метою не допустити сумлінних пасажирів до користування послугами громадського транспорту. Тисячі ваших друзів одночасно виходять на зупинки на початку вказаного маршруту і безцільно катаються у всіх машинах від кінцевої до кінцевої, доки гроші не скінчаться. Поїздка сплачена, але ніхто не виходить на жодній зупинці, крім кінцевих пунктів призначення. А інші пасажири, стоячи на проміжних зупинках, сумно дивляться маршруткам, що віддаляються, услід, не зумівши проштовхнутися в забиті автобуси. У прогарі все: і власники таксі, і потенційні пасажири.

Насправді ці варіанти фізично не втілити в життя. Однак у віртуальному світі ваших друзів можуть замінити комп'ютери несумлінних користувачів, які не спроможні хоч якось захистити свій комп'ютер або ноутбук. І таких переважна більшість. Програм для проведення DDOS атаки безліч. Чи варто нагадувати, що такі дії є протизаконними. А безглуздо підготовлена ​​DDOS атака, з яким успіхом проведена, виявляється і карається.

Як проводиться атака DDOS?

Клацаючи за посиланням сайту, ваш браузер відсилає запит серверу на відображення сторінки, яку шукає. Цей запит виражається як пакет даних. І не одного навіть, а цілого пакету пакетів! У будь-якому випадку обсяг даних, що передаються на канал, завжди обмежений певною шириною. А обсяг даних, що повертаються сервером, незрівнянно більший за ті, що містяться у вашому запиті. У сервера це забирає сили та засоби. Чим сильніший сервер, тим дорожче він коштує для власника і тим дорожче послуги, що їм надаються. Сучасні сервери легко справляються з різко збільшеним напливом відвідувачів. Але для будь-якого із серверів все одно існує критична величина користувачів, які хочуть ознайомитись із змістом сайту. Тим зрозуміліше ситуація з сервером, який надає послуги з хостингу сайтів. Щойно, і сайт-потерпілий відключається від обслуговування, щоб не перевантажити процесори, які обслуговують тисячі інших сайтів, що знаходяться на тому ж хостингу. Робота сайту припиняється до моменту, коли припиниться сама атака DDOS. Ну, уявіть, що ви починаєте перезавантажувати будь-яку сторінку сайту тисячу разів на секунду (DOS). І тисячі ваших друзів роблять на своїх комп'ютерах те саме (distributed DOS або DDOS)... Великі сервери навчилися розпізнавати, що почалася атака DDOS, і протидіють цьому. Проте хакери також удосконалюють свої підходи. Так що в рамках цієї статті, що таке атака DDOS більш розгорнуто, я вже пояснити не зможу.

Що таке DDOS атака ви можете дізнатися та спробувати прямо зараз.

УВАГА.Якщо ви наважитеся спробувати, всі незбережені дані будуть втрачені, для повернення комп'ютера в робочий стан потрібно кнопка RESET. Але ви можете дізнатися, що саме "відчуває" сервер, на який напали. Розгорнутий приклад абзацом нижче, а зараз – прості команди на навантаження системи.

• Для Лінукс у терміналі наберіть команду:

Система відмовиться працювати.

• Для Windows пропоную створити бат-файл у Блокноті з кодом:

Назвіть тип DDOS.bat

Пояснювати зміст обох команд, я гадаю, не варто. Видно все неозброєним поглядом. Обидві команди змушують систему виконати скрипт і відразу його повторити, відсилаючи на початок скрипта. З огляду на швидкість виконання система впадає через пару секунд у ступор. Game, як то кажуть, over.

DDOS атака за допомогою програм.

Для наочного прикладу скористайтеся програмою Low Orbit Ion Cannon (Іонна гармата з низькою орбіти). Або LOIC. Дистрибутив, що найбільше завантажується, розташовується за адресою (працюємо в Windows):

https://sourceforge.net/projects/loic/

УВАГА ! Ваш антивірус повинен відреагувати на файл як на шкідливий. Це нормально: ви вже знаєте, що качаєте. У основі сигнатур він позначений як генератор флуду – у перекладі російською це і є кінцева мета нескінченних звернень на певний мережевий адресу. Я особисто не помітив ні вірусів, ні троянів. Але ви маєте право засумніватися і відкласти завантаження.

Оскільки недбайливі користувачі закидають ресурс повідомленнями про шкідливий файл, Source Forge перекине вас на наступну сторінку з прямим посиланням на файл:

У результаті мені вдалося завантажити утиліту лише через .

Вікно програми виглядає так:

Пункт 1 Select target дозволить зловмиснику зосередитись на конкретній меті (вводиться IP адреса або url сайту), пункт 3 Attack optionsдозволить вибрати атакований порт, протокол ( Method) з трьох TCP, UDP та HTTP. У полі TCP/UDP message можна ввести повідомлення для атакованого. Після зробленого атака починається після натискання кнопки IMMA CHARGIN MAH LAZER(це фраза на межі фолу з популярного колись комікс–мема; американського матюки в програмі, до речі, чимало). Всі.

ПОПЕРЕДЖУЮ

Цей варіант для випробування лише локального хоста. Ось чому:

• проти чужих сайтів це протизаконно, і за це на Заході вже реально сидять (а отже, скоро садитимуть і тут)
• адресу, з якої йде флуд, обчислять швидко, поскаржаться провайдеру, а той винесе вам попередження та нагадає про перший пункт
• у мережах з низьким пропускним каналом (тобто у всіх домашніх) дрібниця не спрацює. З мережею TOR все те саме.
• якщо її налаштувати належним чином, ви швидше заб'єте саме свій канал зв'язку, ніж нашкодите комусь. Тож це саме той варіант, коли груша б'є боксера, а не навпаки. І варіант із проксі проходитиме за тим самим принципом: флуд з вашого боку не сподобається нікому.

Прочитано: 9 326

Останнім часом ми змогли переконатися, що DDoS атаки – це досить сильна зброя в інформаційному просторі. За допомогою DDoS атак з високою потужністю можна не тільки відключити один або кілька сайтів, але й порушити роботу всього сегменту мережі або відключити інтернет у маленькій країні. У наші дні DDoS атаки трапляються все частіше і їхня потужність з кожним разом зростає.

Але в чому суть такої атаки? Що відбувається в мережі, коли вона виконується, звідки взагалі виникла ідея так робити і чому вона така ефективна? На всі ці запитання ви знайдете відповіді у нашій сьогоднішній статті.

DDoS або distributed denial-of-service (розділена відмова в обслуговуванні) – це атака на певний комп'ютер у мережі, яка змушує його шляхом навантаження не відповідати на запити інших користувачів.

Щоб зрозуміти що означає ddos ​​атака, давайте уявимо ситуацію: веб-сервер віддає користувачам сторінки сайту, допустимо створення сторінки і повну її передачу комп'ютера користувача йде півсекунди, тоді наш сервер зможе нормально працювати при частоті два запити в секунду. Якщо таких запитів буде більше, то вони будуть поставлені в чергу і обробляться як тільки веб-сервер звільнитися. Усі нові запити додаються до кінця черги. А тепер уявимо, що запитів дуже багато, і більшість із них йдуть тільки для того, щоб перевантажити цей сервер.

Якщо швидкість надходження нових запитів перевищує швидкість обробки, то згодом черга запитів буде настільки довгою, що фактично нові запити вже не будуть оброблятися. Це і є головним принципом ddos ​​атаки. Раніше такі запити відправлялися з однієї IP-адреси і це називалося атакою відмови в обслуговуванні - Dead-of-Service, по суті, це відповідь на питання що таке dos. Але з такими атаками можна ефективно боротися, просто додавши ip адресу джерела або кількох до списку блокування, до того ж кілька пристроїв через обмеження пропускної спроможності мережі не фізично не можуть генерувати достатню кількість пакетів, щоб перевантажити серйозний сервер.

Тому зараз атаки виконуються одразу з мільйонів пристроїв. До називання було додано слово Distribed, розподілене, вийшло – DDoS. По одному ці пристрої нічого не означають, і, можливо, мають підключення до інтернету з невеликою швидкістю, але коли вони починають все одночасно надсилати запити на один сервер, то можуть досягти загальної швидкості до 10 Тб/с. А це вже досить серйозний показник.

Залишилося розібратися, де зловмисники беруть стільки пристроїв для виконання своїх атак. Це звичайні комп'ютери або різні IoT пристрої, до яких зловмисники змогли отримати доступ. Це може бути все, що завгодно, відеокамери та роутери з давно не оновлюваною прошивкою, пристрої контролю, та й звичайні комп'ютери користувачів, які якимось чином підхопили вірус і не знають про його існування або не поспішають його видаляти.

Види DDoS атак

Є два основні типи DDoS атак, одні орієнтовані на те, щоб перевантажити певну програму та атаки, спрямовані на навантаження самого мережевого каналу до цільового комп'ютера.

Атаки на перевантаження якої-небудь програми ще називаються атаки у 7 (у моделі роботи мережі osi - сім рівнів і останній - це рівнів окремих додатків). Зловмисник атакує програму, яка використовує багато ресурсів сервера шляхом надсилання великої кількості запитів. Зрештою, програма не встигає обробляти всі з'єднання. Саме цей вид ми розглядали вище.

DoS атаки на інтернет канал вимагають набагато більше ресурсів, зате з ними набагато складніше впоратися. Якщо проводити аналогію з osi, це атаки на 3-4 рівень, саме у канал чи протокол передачі. Справа в тому, що будь-яке інтернет-з'єднання має свій ліміт швидкості, з якої по ньому можуть передаватися дані. Якщо даних буде дуже багато, то мережеве обладнання точно так само, як і програма, ставитиме їх у чергу на передачу, і якщо кількість даних і швидкість їх надходження буде дуже перевищувати швидкість каналу, то він буде перевантажений. Швидкість передачі в таких випадках може обчислюватися в гігабайтах в секунду. Наприклад, у разі відключення від інтернету невеликої країни Ліберії, швидкість передачі даних склала до 5 Тб/сек. Тим не менш, 20-40 Гб/сек достатньо, щоб перевантажити більшість мережевих інфраструктур.

Походження DDoS атак

Вище ми розглянули що таке DDoS атаки, а також способи DDoS атаки, настав час перейти до їх походження. Ви коли-небудь замислювалися, чому ці атаки настільки ефективні? Вони ґрунтуються на військових стратегіях, які розроблялися та перевірялися протягом багатьох десятиліть.

Взагалі, багато підходів до інформаційної безпеки засновані на військових стратегіях минулого. Існують троянські віруси, які нагадують стародавню битву за Трою, віруси-здирники, які крадуть ваші файли, щоб отримати викуп і DDoS атаки обмежують ресурси супротивника. Обмежуючи можливості противника, ви отримуєте трохи контролю за його наступними діями. Ця тактика працює дуже добре, як для військових стратегів. так і для кіберзлочинців.

У випадку військової стратегії ми можемо дуже просто думати про типи ресурсів, які можна обмежити, для обмеження можливостей противника. Обмеження води, їжі та будівельних матеріалів просто знищили б супротивника. З комп'ютерами все інакше тут є різні послуги, наприклад, DNS, веб-сервер, сервера електронної пошти. Усі вони мають різну інфраструктуру, але є те, що їх об'єднує. Це мережа. Без мережі ви не зможете отримати доступ до віддаленої служби.

Полководці можуть отруювати воду, спалювати посіви та влаштовувати контрольні пункти. Кіберзлочинці можуть надсилати службі невірні дані, змусити її спожити всю пам'ять або перевантажити весь мережевий канал. Стратегії захисту теж мають те саме коріння. Адміністратору сервера доведеться відстежувати вхідний трафік, щоб знайти шкідливий і заблокувати його ще до того, як він досягне цільового мережного каналу або програми.

Засновник і адміністратор сайту, захоплююсь відкритим програмним забезпеченням та операційною системою Linux. Як основну ОС зараз використовую Ubuntu. Крім Linux цікавлюся всім, що пов'язане з інформаційними технологіями та сучасною наукою.

Розподілені атаки типу «відмова в обслуговуванні» або скорочено DDoS стали поширеним явищем і серйозним головним болем для власників інтернет-ресурсів по всьому світу. Саме тому захист від DDoS-атак на сайт є сьогодні не додатковою опцією, а обов'язковою умовою для тих, хто хоче уникнути простою, величезних збитків та зіпсованої репутації.

Розповідаємо докладніше, що це за недугу і як від неї захиститись.

Що таке DDoS

Distributed Denial of Service або «Розподілена відмова від обслуговування» - напад на інформаційну систему для того, щоб та не мала можливості обробляти запити користувача. Простими словами, DDoS полягає у придушенні веб-ресурсу або сервера трафіком з величезної кількості джерел, що робить його недоступним. Часто такий напад проводиться, щоб спровокувати перебої у роботі мережевих ресурсів у великій фірмі чи державній організації

DDoS-атака схожа на іншу поширену веб-загрозу - "Відмова в обслуговуванні" (Denial of Service, DoS). Єдина відмінність у тому, що звичайний розподілений напад йде з однієї точки, а DDos-атака більш масштабна і йде з різних джерел.

Основна мета DDoS-атаки - зробити веб-майданчик недоступним для відвідувачів, заблокувавши його роботу. Але трапляються випадки, коли подібні напади здійснюються для того, щоб відвернути увагу від інших шкідливих впливів. DDoS-атака може, наприклад, проводитися при зламі системи безпеки з метою оволодіти базою даних організації.

DDoS-атаки з'явилися в полі суспільної уваги 1999 року, коли відбулася серія нападів на сайти великих компаній (Yahoo, eBay, Amazon, CNN). З того часу цей вид кібер-злочинності розвинувся в загрозу глобального масштабу. За даними фахівців, останніми роками їх частота зросла в 2,5 разу, а гранична потужність почала перевищувати 1 Тбіт/сек. Жертвою DDoS-атаки хоча б раз ставала кожна шоста російська компанія. До 2020 року їхня загальна кількість досягне 17 мільйонів.

Хостинг-майданчик з цілодобовим захистом від найвитонченіших DDoS-атак.

Причини DDoS-атак

1. Особиста ворожість.Вона нерідко підштовхує зловмисників на те, щоби атакувати корпорації чи урядові компанії. Наприклад, у 1999 році було скоєно напад на веб-вузли ФБР, внаслідок чого вони вийшли з ладу на кілька тижнів. Сталося це через те, що ФБР розпочало масштабний рейд на хакерів.
2. Політичний протест.Зазвичай такі атаки проводять хактивісти – IT-фахівці з радикальними поглядами на громадянський протест. Відомий приклад – серія кібер-атак на естонські державні установи у 2007 році. Їх ймовірною причиною стала можливість знесення Пам'ятника Воїну-визволителю в Таллінні.
3. Розваги.Сьогодні все більше людей захоплюються DDoS і бажають спробувати свої сили. Новачки-хакери нерідко влаштовують напади, щоб розважитися.
4. Вимагання та шантаж.Перед тим, як запускати атаку, хакер зв'язується із власником ресурсу та вимагає викуп.
5. Конкуренція DDoS-атаки можуть бути замовлені від недобросовісної компанії з метою вплинути на своїх конкурентів.

Хто потенційні жертви

DDoS можуть зруйнувати сайти будь-якого масштабу, починаючи від звичайних блогів та закінчуючи найбільшими корпораціями, банками та іншими фінансовими установами.

Згідно з дослідженнями, проведеними Лабораторією Касперського, напад може коштувати фірмі до 1,6 млн доларів. Це серйозна шкода, адже атакований веб-ресурс на якийсь час не може обслуговуватись, через що відбувається простий.

Найчастіше від DDoS-атак страждають сайти та сервери:

• великих компаній та державних установ;
• фінансових установ (банків, керуючих компаній);
• купонних сервісів;
• медичних установ;
• платіжних систем;
• ЗМІ та інформаційних агрегаторів;
• інтернет-магазинів та підприємств електронної комерції;
• онлайн-ігор та ігрових сервісів;
• бірж криптовалюти.

Нещодавно до сумного списку частих жертв DDoS-атак додалося і підключене до інтернету обладнання, яке отримало загальну назву «інтернет речей» (Internet of Things, IoT). Найбільшу динаміку зростання у цьому напрямі показують кібер-напади з метою порушити роботу онлайн-кас великих магазинів чи торгових центрів.

Механізм роботи

Всі веб-сервери мають свої обмеження щодо кількості запитів, які вони можуть опрацьовувати одночасно. Крім цього, передбачена межа для пропускної здатності каналу, що з'єднує мережу та сервер. Щоб обійти ці обмеження, зловмисники створюють комп'ютерну мережу зі шкідливим програмним забезпеченням, яка називається «ботнет» або «зомбі-мережа».

Для створення ботнету кібер-злочинці розповсюджують троян через e-mail розсилки, соціальні мережі чи сайти. Комп'ютери, що входять у ботнет, не мають фізичного зв'язку між собою. Їх поєднує лише «служіння» цілям господаря-хакера.

Під час DDoS-атаки хакер відправляє команди «зараженим» комп'ютерам-зомбі, а ті починають наступ. Ботнети генерують величезний обсяг трафіку, здатний перевантажити будь-яку систему. Основними об'єктами для DDoS зазвичай стає пропускний канал сервера, DNS-сервер, а також саме інтернет-з'єднання.

Ознаки DDoS-атаки

Коли дії зловмисників досягають своєї мети, це миттєво можна визначити зі збоїв у роботі сервера чи розміщеного там ресурсу. Але є ряд непрямих ознак, за якими про DDoS-атаку можна дізнатися ще на самому її початку.

• Серверне ПЗ та ОС починають часто і явно збоїти- зависати, некоректно завершувати роботу тощо.
апаратні потужностісервера, що різко відрізняється від середньоденних показників.
• Стрімке збільшення вхідноготрафікув одному чи ряді портів.
• Багаторазово дубльовані однотипні діїклієнтів на одному ресурсі (перехід на сайт, завантаження файлу).
• Під час аналізу логів (журналів дій користувачів) сервера, брандмауера чи мережевих пристроїв виявлено багато запитіводного типу з різних джерел до одногопорту чи сервісу. Слід особливо насторожитись, якщо аудиторія запитів різко відрізняється від цільової для сайту чи сервісу.

Класифікація типів DDoS-атак

Протокольний наступ (транспортний рівень)

DDoS-атака спрямована на мережевий рівень сервера чи веб-ресурсу, тому часто називають атакою мережевого рівня чи транспортного рівня. Її мета-привести до перевантаження табличного простору на міжмережевому екрані з вбудованим журналом безпеки (брандмауер), в центральній мережі або в системі, що балансує навантаження.

Найпоширеніший метод DDoS на транспортному рівні - мережевий флуд, Створення величезного потоку запитів-пустушок на різних рівнях, з якими фізично не може впорається приймаючий вузол.

Зазвичай мережева служба застосовує правило FIFO, за яким комп'ютер не переходить до обслуговування другого запиту, доки обробить перший. Але при атаці кількість запитів настільки зростає, що пристрою немає ресурсів для того, щоб завершити роботу з першим запитом. У результаті флуд максимально насичує смугу пропускання і наглухо забиває всі канали зв'язку.

Найпоширеніші види мережевого флуду

• HTTP-флуд- на сервер, що атакується, відправляється маса звичайних або шифрованих HTTP-повідомлень, що забивають вузли зв'язку.
• ICMP-флуд- ботнет зловмисника перевантажує хост-машину жертви службовими запитами, куди вона має давати луна-ответы. Приватний приклад такого типу атак Ping-флудабо Smurf-атака, коли канали зв'язку заповнюються ping-запитами, що використовуються для перевірки доступності вузла мережі. Саме через загрозу ICMP-флуду системні адміністратори часто повністю блокують можливість робити ICMP-запити за допомогою фаєрволу.
• SYN-флуд- атака впливає однією з базових механізмів дії протоколу TCP, відомого як принцип «потрійного рукостискання» (алгоритм «запит-ответ»: SYN пакет – SYN-ACK пакет – ACK пакет). Жертву завалюють валом фальшивих SYN-запитів без відповіді. Канал користувача забивається чергою TCP-підключень від вихідних з'єднань, що чекають на відповідний ACK пакет.
• UDP-флуд- Випадкові порти хост-машини жертви завалюються пакетами по протоколу UDP, відповіді на які перевантажує мережеві ресурси. Різновид UDP-флуду, спрямований на DNS-сервер, називається DNS-флуд.
• MAC-флуд- Метою є мережеве обладнання, порти якого забиваються потоками «порожніх» пакетів з різними MAC-адресами. Для захисту від такого типу DdoS-атак на мережних комутаторах налаштовують перевірку валідності та фільтрацію MAC-адрес.

Атаки прикладного рівня (рівень інфраструктури)

Цей різновид використовується, коли необхідно захопити або вивести з ладу апаратні ресурси. Метою «рейдерів» може бути як фізична, так і оперативна пам'ять або процесорний час.

Перевантажувати пропускний канал необов'язково. Достатньо лише привести процесор жертви до перевантаження або, іншими словами, зайняти весь обсяг процесного часу.

Види DDoS-атак прикладного рівня

• Надсилання «важкіх»пакетів, що надходять безпосередньо до процесора. Пристрій не може подужати складні обчислення та починає давати збій, тим самим відключаючи відвідувачів доступ до сайту.
• За допомогою скрипта сервер наповнюється «сміттєвим» вмістом- лог-файлами, «користувацькими коментарями» і т.д. Якщо системний адміністратор не встановив ліміт на сервері, хакер може створити величезні пакети файлів, які призведуть до заповнення всього жорсткого диска.
• Проблеми з системою квотування. Деякі сервери використовують для зв'язку із зовнішніми програмами CGI-інтерфейс (Common Gateway Interface, "загальний інтерфейс шлюзу"). При отриманні доступу до CGI зловмисник може написати свій скрипт, який використовуватиме частину ресурсів, наприклад - процесорний час, в його інтересах.
• Неповна перевіркаданих відвідувача. Це також призводить до тривалого або навіть нескінченного використання ресурсів процесора до їх виснаження.
• Атака другого роду. Воно викликає хибне спрацювання сигналу у системі захисту, що може автоматично закрити ресурс зовнішнього світу.

Атаки на рівні додатків

DDoS-атака рівня додатків використовує недогляди при створенні програмного коду, що створює вразливість програмного забезпечення для зовнішнього впливу. До цього виду можна віднести таку поширену атаку, як "Пінг смерті" (Ping of death) - масове відправлення комп'ютера жертви ICMP-пакетів більшої довжини, що викликають переповнення буфера.

Але професійні хакери рідко вдаються до такого найпростішого методу, як навантаження пропускних каналів. Для атаки складних систем великих компаній вони намагаються повністю розібратися в системній структурі сервера і написати експлойт - програму, ланцюжок команд або частину програмного коду, що враховують вразливість ПЗ жертви і застосовуються для наступу на комп'ютер.

DNS-атаки

1. Перша група спрямована на вразливістьі вПЗ DNS-сервери. До них відносяться такі поширені види кібер-злочинів, як Zero-day attack («Атака нульового дня») та Fast Flux DNS («Швидкий потік»).
   Один з найпоширеніших типів DNS-атак називається DNS-Spoofing (DNS-спуфінг). Під час неї зловмисники замінюють IP-адресу в кеші сервера, перенаправляючи користувача на підставну сторінку. При переході злочинець отримує доступ до персональних даних користувача і може використовувати їх у своїх інтересах. Наприклад, у 2009 році через заміну DNS-запису користувачі не могли зайти в Twitter протягом години. Такий напад мав політичний характер. Зловмисники встановили на головній сторінці соціальної мережі застереження хакерів з Ірану, пов'язані з американською агресією
2. Друга група – це DdoS-атаки, які призводять до непрацездатності DNS-серверів. У разі їх виходу з ладу користувач не зможе зайти на потрібну сторінку, оскільки браузер не знайде IP-адресу, властиву конкретному сайту.

Запобігання та захист від DDoS-атак

Згідно з даними Corero Network Security, більше ⅔ всіх компаній у світі щомісяця зазнають атак «відмови в доступі». Причому їх кількість сягає 50.

Власникам сайтів, які не передбачили захист сервера від DDoS-атак, можуть не тільки зазнати величезних збитків, а й зниженням довіри клієнтів, а також конкурентоспроможності на ринку.

Найефективніший спосіб захисту від DDoS-атак – фільтри, що встановлюються провайдером на інтернет-канали з великою пропускною здатністю. Вони проводять послідовний аналіз всього трафіку і виявляють підозрілу мережну активність чи помилки. Фільтри можуть встановлюватися як на рівні маршрутизаторів, так і за допомогою спеціальних апаратних пристроїв.

Способи захисту

1. Ще на етапі написання програмного забезпечення необхідно замислитись про безпеку сайту. Ретельно перевіряйте ПЗна наявність помилок та вразливостей.
2. Регулярно оновлюйте ПЗ, а також передбачте можливість повернутися до старої версії у разі виникнення проблем.
3. Слідкуйте за обмеженням доступу. Служби, пов'язані з адмініструванням, повинні повністю закриватись від стороннього доступу. Захищайте адміністраторський обліковий запис складними паролями і частіше їх змінюйте. Своєчасно видаляйте облікові записи співробітників, які звільнилися.
4. Доступ до інтерфейсу адміністратораповинен проводитися виключно із внутрішньої мережі або за допомогою VPN.
5. Скануйте систему на наявність уразливостей. Найнебезпечніші варіанти вразливостей регулярно публікує авторитетний рейтинг OWASP Top 10.
6. Застосовуйте брандмауер для програм- WAF (Web Application Firewall). Він переглядає переданий трафік та стежить за легітимністю запитів.
7. Використовуйте CDN(Content Delivery Network). Це мережа з доставки контенту, що функціонує за допомогою розподіленої мережі. Трафік сортується на кількох серверах, що знижує затримку при доступі відвідувачів.
8. Контролюйте вхідний трафік за допомогою списків контролю доступу (ACL), де буде вказано список осіб, які мають доступ до об'єкта (програми, процесу чи файлу), а також їх ролі.
9. Можна, можливо блокувати трафік, Яких виходить від атакуючих пристроїв. Робиться це двома способами: застосування міжмережевих екранів або списків ACL. У першому випадку блокується конкретний потік, але при цьому екрани не можуть відокремити позитивний трафік від негативного. А в другому – фільтруються другорядні протоколи. Тому він не принесе користі, якщо хакер застосовує першочергові запити.
10. Щоб захиститися від DNS-спуфінгу, потрібно періодично очищати кеш DNS.
11. Використати захист від спам-ботів- капча (captcha), «людські» часові рамки заповнення форм, reCaptcha (галочка «Я робот») тощо.
12. Зворотній атака. Весь шкідливий трафік перенаправляється на зловмисника. Він допоможе не лише відбити напад, а й зруйнувати сервер атакуючого.
13. Розміщення ресурсів на кількох незалежних серверах. При виході одного сервера з ладу, що залишилися, забезпечать працездатність.
14. Використання перевірених апаратних засобів захистувід DDoS-атак. Наприклад, Impletec iCore чи DefensePro.
15. Вибирати хостинг-провайдера, який співпрацює з надійним постачальникомпослуг кібербезпеки. Серед критеріїв надійності фахівці виділяють наявність гарантій якості, забезпечення захисту від максимально повного спектру загроз, цілодобова техпідтримка, транспарентність (доступ клієнта до статистики та аналітики), а також відсутність тарифікації шкідливого трафіку.

Висновок

У цій статті ми розглянули, що означає DDoS-атака та як захистити свій сайт від нападів. Важливо пам'ятати, що подібні шкідливі дії можуть вивести з ладу навіть найбезпечніші та найбільші веб-ресурси. Це спричинить серйозні наслідки у вигляді величезних збитків і втрати клієнтів. Саме тому, убезпечити свій ресурс від DDoS-атак – актуальне завдання для всіх комерційних структур та державних установ.

Бажаєте професійний рівень захисту від DDoS-атак - вибирайте! Постійний моніторинг та цілодобова техпідтримка.

Як відбувається DDoS-атака та які її види існують? Розуміння проблеми — це вже половина її вирішення. Тому розглянемо основні типи DDoS та з якою метою їх здійснюють на сайти.

DDoS (Distributed Denial of Service attack)- Це цілеспрямований комплекс дій для виведення з ладу, збою роботи інтернет-ресурсу. Жертвою може стати будь-який ресурс, у тому числі інтернет-магазин, державний сайт чи ігровий сервер. У більшості подібних випадків зловмисник використовує з цією метою мережу комп'ютерів, які заражені вірусом. Така мережа називається ботнет. У ньому є координуючий головний сервер. Для запуску атаки хакер відправляє команду такому серверу, який у свою чергу дає сигнал кожному роботі почати виконання шкідливих мережевих запитів.

Причин здійснення DDoS-атакиможе бути багато. Наприклад:

• для розваги. Примітивну атаку може організувати кожен, хто хоч трохи знається на цій галузі. Щоправда, така атака не анонімна і неефективна, а ті, хто її робить, можуть навіть не здогадуватися про це. Часто такі ситуації практикують школярі для розваг. Метою такої "забави" може стати практично будь-який сайт в Інтернеті.
• через особисту неприязнь . DDoS-атака на Ваш сайт може бути і з такої причини. Чи мало кому Ви перейшли дорогу, це можуть зробити і конкуренти, і будь-які інші люди, яким Ваш інтернет-ресурс “не до вподоби”.
• заради шантажу чи здирства . Шахраї шантажують здебільшого великі компанії. Вони вимагають плату за те, щоб припинити атаку на сервер або за її недосконалість.
• недобросовісна конкуренція . Часто такі атаки створюються для руйнування репутації сайту та втрати клієнтопотоку.

Перші DDoS-атаки з'явилися 1996 року. Щоправда, особливу увагу таке явище привернув до себе в 1999 році, коли з робочого ладу було виведено світових гігантів – Amazon, Yahoo, CNN, eBay, E-Trade. А вживати термінових заходів щодо вирішення проблеми стали лише у 2000 році, коли знову було здійснено вплив на сервери ключових компаній.

Типи DDoS.

Простий трафік це HTTP запити. Основа запиту – HTTP-заголовок. Сторона, що запитує, може використовувати скільки завгодно заголовків, надаючи їм потрібні властивості. Зловмисники, які проводять DDoS, можуть змінювати ці заголовки, тому їх важко розпізнати як атаку.

HTTP GET

• HTTP(S) GET-запит- Спосіб, що запитує дані на сервері. Цей запит може “попросити” сервера передати якийсь файл, зображення, сторінку або скрипт, для відображення у веб-браузері.
• HTTP(S) GET-флуд- DDoS атака прикладного рівня (7) моделі OSI. Зловмисник посилає потужний потік запитів на сервер для переповнення ресурсів. І тут сервер перестає відповідати запити реальних відвідувачів.

HTTP POST

• HTTP(S) POST-запит- метод, суть якого полягає в тому, що дані містяться в тілі запиту для подальшої обробки на сервері. HTTP POST-запит кодує інформацію, що передається, і поміщає на форму, а потім відправляє цей контент на сервер. Цей метод використовують, коли потрібно передавати великі обсяги даних.
• HTTP(S) POST-флуд- тип DDoS-атаки, у якому кількість POST-запросів переповнюють сервер, у результаті не може відповісти ними. Це спричиняє аварійну зупинку сервера з наслідками.

Всі перелічені запити також передаються по HTTPS, дані, що пересилаються, в такому випадку шифруються. І такий захист грає на користь хакерам. Адже, щоб виявити такий запит, сервер має спочатку розшифрувати його. А розшифрувати потік запитів під час такої атаки дуже складно, і це створює додаткове навантаження на сервер.

ICMP-флуд (або Smurf-атака). Досить небезпечний тип атаки. Хакер відправляє підроблений ICMP-пакет, в якому адреса атакуючого змінюється на адресу жертви. Всі вузли надсилають відповідь на ping-запит. Для цього в більшості випадків використовують велику мережу, щоб комп'ютер-жертва не мала жодних шансів.

UDP флуд (або атака Fraggle). За своїм типом аналогічний ICMP флуду, щоправда у разі застосовуються UDP пакети. Через насичення смуг пропускання відбувається відмова в обслуговуванні сервера жертви.

SYN-флуд. В основі такої атаки лежить запуск великої кількості одночасних TCP-з'єднань через посилку SYN-пакету з неіснуючою зворотною адресою.

Надсилання «важких пакетів». При такому вигляді атаки зловмисник відсилає пакети серверу, які не насичують смугу пропускання, а витрачають процесорний час. У підсумку відбувається збій у системі та користувачі не можуть отримати свої ресурси.

Переповнення сервера лог-файлами. При некоректній системі ротації лог-файлів шахрай може надсилати об'ємні пакети, які незабаром займуть вільне місце на жорсткому диску сервера. У результаті збій у системі.

Помилки програмного коду. Деякі зловмисники з досвідом у цій сфері діяльності розробляють спеціальні програми-експлоїти, які дозволяють атакувати складні системи комерційних організацій. Для цього вони шукають помилки в коді програм, які можуть призвести до завершення служби.

Недоліки у програмному коді. Та ж ситуація: хакери шукають помилки у коді програм або ОС, при цьому змушують їх обробляти виняткові ситуації, в результаті програми виходять з ладу.

Методи боротьби з DDoS можна розділити на два види:активні та пасивні. Пасивні це заздалегідь підготовлені методи обережності та запобігання атакі, активні застосовуються у разі, якщо атака вже відбувається на даний момент.

Основний пасивний метод це, звичайно ж,запобігання. Багато хто вважає цей метод несуттєвим, але все-таки в більшості випадків він є основним.

В основі профілактики має лежати виключення таких чинників як особиста ворожість, конкуренція, релігійні чи інші розбіжності. Якщо вчасно усунути подібні причини і зробити відповідні висновки, DDoS не торкнеться Вашого інтернет-ресурсу. Але це метод більше стосується управління, а чи не технічної боку проблеми.

Використання спеціалізованого програмного та апаратного забезпечення.

Сьогодні багато компаній-виробників розробили спеціальні та вже готові рішення для захисту від DDoS-атак. Це програмне забезпечення різних видів для захисту малих та найбільших сайтів для різних типів організацій. Це також вважається пасивним методом захисту, оскільки є превентивним способом.

Фільтрування та блокування трафіку, Що виходить від атакуючих машин дає можливість знизити або зовсім погасити атаку. Існує два способи фільтрації: маршрутизація за списками ACL та використання міжмережевих екранів. Використання списків ACL дозволяє фільтрувати другорядні протоколи, не торкаючись при цьому протоколів TCP і не уповільнюючи швидкість роботи користувачів з ресурсом. Міжмережні екрани використовуються виключно для захисту приватних мереж.

Зворотній DDoS- Перенаправлення трафіку на атакуючого. Якщо Ви маєте достатні серверні потужності, то зможете не лише подолати атаку, а й вивести з ладу обладнання атакуючого. Правда, цей тип захисту у разі помилок у програмному коді ОС, системних служб або веб-застосунків.

Усунення вразливостей– тип захисту має на меті усунення помилок у системах або службах. На жаль, такий спосіб захисту не працює проти флуд-атак.

Побудова розподілених систем– дозволяє обслуговувати користувачів, навіть якщо деякі вузли стають недоступними через DDoS-атаки. Для цього використовується мережеве або серверне обладнання різних типів, яке розміщується у різних ДЦ. Також часто встановлюють дублюючу систему. Це вигідно робити для великих проектів, які дорожать репутацією та мають величезну кількість користувачів.

Моніторинг– встановлення спеціальної системи моніторингу та оповіщення. Вона дасть змогу обчислити DDoS-атаку за певними критеріями. Моніторинг безпосередньо не захищає систему, що атакується, але дозволяє вчасно зреагувати і запобігти збою в системі роботи ресурсу. Це, звичайно, пасивний метод захисту.

Придбання сервісу захисту від DDoS-aтак– дозволяє захиститися від багатьох типів DDoS-атак, використовуючи цілий комплекс механізмів фільтрації небажаного трафіку до атакуючих серверів. Щоправда, коштують такі послуги дорого.

Як реагувати на загрози шахраїв, які DDoS-сять Ваш онлайн-ресурс? Докладніше у наступній.

Тільки комплекс вище описаних заходів допоможе Вам захистити сайт від DDoS та зберегти свій сервіс.

Про DDoS-атаки. Базові правила захисту ресурсу в Мережі, докладніше про .

9109 раз(и) 11 Сьогодні переглянуто раз(и)