Šta se koristi za ddos ​​napade. DOS i DDoS napadi: pojam, vrste, metode detekcije i zaštite

Dom / Ne radi

Nije potrebno mnogo inteligencije da se naredi DDoS napad. Platite hakerima i razmislite o panici vaših konkurenata. Prvo iz direktorske fotelje, a onda iz zatvorskog kreveta.

Objašnjavamo zašto je obraćanje hakerima posljednja stvar koju pošteni poduzetnik treba učiniti i koje su posljedice.

Kako izvršiti DDoS napadčak i školarac zna

Danas su alati za organizovanje DDoS napada dostupni svima. Barijera za ulazak za hakere početnike je niska. Dakle, udio kratkih, ali snažnih napada na ruske stranice odrastao Izgleda da hakerske grupe samo vježbaju svoje vještine.

Slučaj u tački. 2014. Obrazovni portal Republike Tatarstan pretrpio DDoS napade. Na prvi pogled, nema smisla napadati: ovo nije komercijalna organizacija i od nje se nema šta tražiti. Portal prikazuje ocjene, rasporede časova i tako dalje. Nema više. Stručnjaci Kaspersky Lab-a pronašli su VKontakte grupu u kojoj su razgovarali studenti i školarci iz Tatarstana kako napraviti DDoS napad.

Zajednica mladih boraca protiv sistema Republike Tatarstan

Izvedeni upiti iz „kako napraviti DDoS napad u Tatarstanu“ doveli su stručnjake za sajber sigurnost do zanimljive objave. Izvođači su brzo pronađeni i morali su nadoknaditi štetu.

Nekada su kidali stranice u dnevnicima, ali sada hakuju web stranice

Zbog jednostavnosti DDoS napada, na njih se poduzimaju početnici bez moralnih principa ili razumijevanja svojih mogućnosti. Oni također mogu preprodati podatke kupaca. Podmlađivanje počinilaca DDoS napada je globalni trend.

Zatvorska kazna u proljeće 2017 primio britanski student. Kada je imao 16 godina, stvarao je DDoS napad program Titanium Stresser. Britanac je od njegove prodaje zaradio 400 hiljada funti sterlinga (29 miliona rubalja). Koristeći ovaj DDoS program, izvršeno je 2 miliona napada na 650 hiljada korisnika širom svijeta.

Ispostavilo se da su tinejdžeri članovi velikih DDoS grupa Lizard Squad i PoodleCorp. Mladi Amerikanci su smislili svoje DDoS programe, ali ih je koristio za napad na servere igara kako bi stekao prednosti u online igrama. Tako su pronađeni.

Da li će reputaciju kompanije povjeriti dojučerašnjim školarcima, svako će odlučiti za sebe.

Kazna zaDDoS programiu Rusiji

Kako izvršiti DDoS napadzainteresovani za preduzetnike koji ne žele da igraju po pravilima takmičenja. To rade zaposleni u Direkciji "K" Ministarstva unutrašnjih poslova Rusije. Uhvate izvođače.

Rusko zakonodavstvo predviđa kaznu za sajber zločine. Na osnovu trenutne prakse, učesnici u DDoS napadu mogu potpasti pod sljedeće članke.

Kupci.Njihove radnje obično potpadaju pod- nezakonit pristup zakonom zaštićenim kompjuterskim informacijama.

kazna:kazna zatvora do sedam godina ili novčana kazna do 500 hiljada rubalja.

Primjer. Po ovom članu osuđen je službenik odeljenja za zaštitu tehničkih informacija gradske uprave Kurgan. Razvio je multifunkcionalni Meta program. Uz njegovu pomoć, napadač je prikupio lične podatke o 1,3 miliona stanovnika regiona. Poslije sam ga prodao bankama i agencijama za naplatu. Hackera je dobio dvije godine zatvora.

Performers.Po pravilu se kažnjavajuČlan 273 Krivičnog zakona Ruske Federacije - stvaranje, korištenje i distribucija zlonamjernih kompjuterskih programa.

Kazna.Kazna zatvora do sedam godina sa novčanom kaznom do 200 hiljada rubalja.

Primjer.19-godišnji student iz Toljatija dobio je uslovnu kaznu od 2,5 godine i novčanu kaznu od 12 miliona rubalja. Korišćenjem programa za DDoS napade, pokušao je da sruši informacijske resurse i web stranice banaka. Nakon napada, student je iznuđivao novac.

Nepažljivi korisnici.Nepoštivanje sigurnosnih pravila prilikom pohranjivanja podataka je kažnjivoČlan 274 Krivičnog zakona Ruske Federacije - kršenje pravila za rad sredstava za skladištenje, obradu ili prenos kompjuterskih informacija i informacionih i telekomunikacionih mreža.

kazna:kazna zatvora do pet godina ili novčana kazna do 500 hiljada rubalja.

Primjer.Ukoliko je novac na bilo koji način ukraden prilikom pristupa informacijama, članak će biti reklasifikovan kao prevara u oblasti kompjuterskih informacija (). Dakle, dvije godine u koloniji primili su uralski hakeri koji su dobili pristup serverima banke.

Napadi na medije.Ako DDoS napadi imaju za cilj kršenje novinarskih prava, radnje potpadaju pod - ometanje legitimnih profesionalnih aktivnosti novinara.

kazna:kazna zatvora do šest godina ili novčana kazna do 800 hiljada rubalja.

Primjer.Ovaj članak se često reklasificira u teže. Kako izvršiti DDoS napad znali su oni koji su napali Novu Gazetu, Eho Moskvy i Boljšoj Gorod. Regionalne publikacije također postaju žrtve hakera.

U Rusiji postoje stroge kazne za korišćenje DDoS programi . Anonimnost vas neće spasiti od Direkcije K.

Programi za DDoS napade

Prema mišljenju stručnjaka, 2.000 botova je dovoljno za napad na prosječnu web stranicu. Cijena DDoS napada počinje od 20 dolara (1.100 rubalja). Broj kanala za napad i vrijeme rada se dogovaraju pojedinačno. Postoje i iznude.

Pristojan haker će provesti pentest prije napada. Vojska bi ovu metodu nazvala "izviđanje na snazi". Suština pentesta je mali, kontrolirani napad kako bi se otkrili odbrambeni resursi stranice.

Zanimljiva činjenica.Kako izvršiti DDoS napadMnogi ljudi znaju, ali snagu hakera određuje botnet. Često napadači jedni od drugih kradu ključeve za pristup „vojski“ i zatim ih preprodaju. Poznati trik je da se "isključi" wi-fi tako da se nasilno restartuje i vrati na osnovne postavke. U ovom stanju, lozinka je standardna. Zatim, napadači dobijaju pristup cjelokupnom prometu organizacije.

Najnoviji hakerski trend je hakovanje pametnih uređaja kako bi se na njih instalirali rudari kriptovaluta. Ove radnje se mogu kvalificirati prema klauzuli upotrebe malware(član 273 Krivičnog zakona Ruske Federacije). Dakle, oficiri FSB-a u pritvoru sistem administrator Centar za kontrolu misije. Ugradio je rudare na svoju radnu opremu i obogatio se. Napadača su identifikovali udari struje.

Hakeri će izvršiti DDoS napad na konkurenta. Tada mogu dobiti pristup njegovoj računarskoj snazi ​​i rudariti bitkoin ili dva. Samo ovaj prihod neće ići kupcu.

Rizici naručivanja DDoS napada

Hajde da sumiramo odmjeravajući prednosti i nedostatke naručivanja DDoS napada na konkurente.

Ako su konkurenti iznervirali posao, hakeri neće pomoći. Oni će samo pogoršati stvari. Agencija "Digital Sharks" neželjene informacije pravnim putem.

On kompjuterski sistem sa ciljem njegovog dovođenja do kvara, odnosno stvaranja uslova pod kojima legalni (legitimni) korisnici sistema ne mogu pristupiti resursima (serverima) koje sistem obezbeđuje, ili je taj pristup otežan. Kvar „neprijateljskog“ sistema takođe može biti korak ka ovladavanju sistemom (ako u hitnoj situaciji softver proizvede bilo kakvu kritičnu informaciju – na primer, verziju, deo programski kod itd.). Ali češće je to mjera ekonomskog pritiska: zastoji u usluzi koja generira prihod, računi od provajdera i mjere za izbjegavanje napada značajno pogađaju „citu“ u džepu.

Ako se napad izvodi istovremeno sa velikog broja računara, govorimo o DDoS napad(sa engleskog Distribuirano uskraćivanje usluge, distribuirani napad uskraćivanja usluge). U nekim slučajevima, stvarni DDoS napad je uzrokovan nenamjernom radnjom, na primjer, postavljanjem na popularni internetski resurs linka na web lokaciju koja se nalazi na ne baš produktivnom serveru (efekat slashdot). Veliki priliv korisnika dovodi do prekoračenja dozvoljenog opterećenja servera i, posljedično, uskraćivanja usluge nekima od njih.

Vrste DoS napada

Postoje različiti razlozi zbog kojih može doći do DoS stanja:

  • Greška u programskom kodu, što dovodi do pristupa neiskorištenom fragmentu adresnog prostora, izvršavanja nevažeće instrukcije ili drugog neobrađenog izuzetka kada se serverski program - serverski program - sruši. Klasičan primjer je preokret za nulu. null) adresa.
  • Nedovoljna provjera korisničkih podataka, što dovodi do beskonačnog ili dugog ciklusa ili povećane dugoročne potrošnje procesorskih resursa (do iscrpljivanja resursa procesora) ili dodjeljivanja velike količine RAM(dok se raspoloživa memorija ne potroši).
  • Poplava(engleski) poplava- "poplava", "prelijevanje") - napad povezan s velikim brojem obično besmislenih ili pogrešno formatiranih zahtjeva prema računarskom sistemu ili mrežnoj opremi, usmjeren na ili dovodeći do kvara sistema zbog iscrpljenosti sistemski resursi- procesor, memorija ili komunikacioni kanali.
  • Napad druge vrste- napad koji nastoji izazvati lažnu uzbunu sigurnosnog sistema i na taj način dovesti do nedostupnosti nekog resursa.

Ako se napad (obično poplava) izvede istovremeno sa velika količina IP adrese - sa nekoliko računara raštrkanih na mreži - tada se u ovom slučaju poziva distribuirano napad uskraćivanja usluge ( DDoS).

Iskorištavanje grešaka

Exploit je program, dio softverskog koda ili niz softverskih naredbi koji iskorištava ranjivosti u softveru i koristi se za izvođenje napada na sajber sistem. Od eksploata koji dovode do DoS napada, ali su neprikladni, na primjer, za preuzimanje kontrole nad "neprijateljskim" sistemom, najpoznatiji su WinNuke i Ping smrti.

Poplava

O poplavama kao kršenju pravila mreže, vidi poplave.

Poplava nazovite ogroman tok besmislenih zahtjeva sa različitih računara kako bi zauzeli "neprijateljski" sistem (procesor, RAM ili komunikacioni kanal) radom i time ga privremeno onemogućili. Koncept „DDoS napada“ je skoro ekvivalentan konceptu „poplave“, au svakodnevnom životu su oba često zamenljiva („flood the server“ = „DDoS the server“).

Za stvaranje poplave mogu se koristiti i obični mrežni uslužni programi poput pinga (na primjer, internetska zajednica "Upyachka" je poznata po tome), kao i posebni programi. Mogućnost DDoS-a je često „uvezana” u botnetove. Ako se utvrdi da stranica s velikim prometom ima ranjivost skriptiranja na više lokacija ili mogućnost uključivanja slika iz drugih resursa, ova stranica se također može koristiti za DDoS napad.

Preplavljivanje komunikacionog kanala i TCP podsistema

Bilo koji računar na koji je povezan vanjski svijet putem TCP/IP protokola, podložan sljedećim vrstama poplava:

  • SYN flood - kod ove vrste flood napada veliki broj SYN paketa se šalje napadnutom čvoru preko TCP protokola (zahtjeva za otvaranje veze). U tom slučaju se nakon kratkog vremena iscrpljuje broj soketa (softverske mreže, portovi) dostupnih za otvaranje na napadnutom računaru i server prestaje da reaguje.
  • UDP flood - ova vrsta poplava ne napada ciljni računar, već njegov komunikacioni kanal. Provajderi razumno pretpostavljaju da UDP paketi trebaju biti isporučeni prvi, a TCP može čekati. Veliki broj UDP paketa različitih veličina začepljuje komunikacioni kanal, a server koji radi na TCP protokolu prestaje da reaguje.
  • ICMP flood je ista stvar, ali koristeći ICMP pakete.

Nivo aplikacije poplava

Mnogi servisi su dizajnirani na način da mali zahtjev može uzrokovati veliku potrošnju računarske snage na serveru. U ovom slučaju nije napadnut komunikacioni kanal ili TCP podsistem, već sam servis - poplava sličnih "bolesnih" zahtjeva. Na primjer, web serveri su ranjivi na HTTP flooding ili jednostavan GET / ili složeni zahtjev baze podataka kao što je GET /index.php?search= može se koristiti za onemogućavanje web servera.<случайная строка> .

Detekcija DoS napada

Postoji mišljenje da posebni alati za otkrivanje DoS napada nisu potrebni, jer se činjenica DoS napada ne može zanemariti. U mnogim slučajevima to je tačno. Međutim, vrlo često su uočeni uspješni DoS napadi, koje su žrtve primijetile tek nakon 2-3 dana. Desilo se da su negativne posljedice napada ( poplava-napadi) rezultirali su nepotrebnim troškovima plaćanja viška internet saobraćaja, što je postalo jasno tek po prijemu računa od internet provajdera. Pored toga, mnoge metode otkrivanja napada su neefikasne u blizini mete napada, ali su efikasne na mrežnim okosnicama. U tom slučaju je preporučljivo tamo instalirati sisteme za detekciju, a ne čekati dok napadnuti korisnik to sam primijeti i zatraži pomoć. Osim toga, da biste se efikasno suprotstavili DoS napadima, potrebno je poznavati vrstu, prirodu i druge karakteristike DoS napada, a sistemi za detekciju vam omogućavaju da brzo dobijete ove informacije.

Metode za otkrivanje DoS napada mogu se podijeliti u nekoliko velikih grupa:

  • potpis - na osnovu kvalitativne analize saobraćaja.
  • statistički - zasnovan na kvantitativnoj analizi prometa.
  • hibridni (kombinovani) - kombinujući prednosti obe gore navedene metode.

Zaštita od DoS napada

Mjere za suzbijanje DoS napada mogu se podijeliti na pasivne i aktivne, kao i preventivne i reakcionarne.

Ispod je kratka lista glavnih metoda.

  • Prevencija. Prevencija razloga koji navode pojedince na organizovanje i pokretanje DoS napada. (Vrlo često su sajber napadi uglavnom rezultat ličnih pritužbi, političkih, vjerskih i drugih nesuglasica, provociranja ponašanja žrtve itd.)
  • Filtracija i blackholing. Blokiranje saobraćaja koji dolazi od napadačkih mašina. Efikasnost ovih metoda se smanjuje kako se približavate meti napada i povećava se kako se približavate mašini za napad.
  • Obrnuti DDOS- preusmjeravanje saobraćaja koji se koristi za napad na napadača.
  • Uklanjanje ranjivosti. Ne radi protiv poplava-napadi za koje je “ranjivost” ograničenost određenih sistemskih resursa.
  • Povećanje resursa. Naravno, ne pruža apsolutnu zaštitu, ali je dobra pozadina za korištenje drugih vrsta zaštite od DoS napada.
  • Raspršivanje. Izgradnja distribuiranih i redundantnih sistema koji neće prestati da služe korisnicima, čak i ako neki od njihovih elemenata postanu nedostupni zbog DoS napada.
  • Utaja. Premještanje neposrednog cilja napada (ime domene ili IP adresa) dalje od drugih resursa koji su često također izloženi zajedno sa neposrednom metom napada.
  • Aktivan odgovor. Uticaj na izvore, organizatora ili kontrolni centar napada, kako tehnološkim tako i organizaciono-pravnim sredstvima.
  • Korištenje opreme za odbijanje DoS napada. Na primjer, DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® i drugih proizvođača.
  • Kupovina usluge za zaštitu od DoS napada. Ovo je relevantno ako poplava premašuje kapacitet mrežnog kanala.

Vidi također

Bilješke

Književnost

  • Chris Kaspersky Kompjuterski virusi iznutra i spolja. - Peter. - Sankt Peterburg. : Peter, 2006. - P. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analiza tipičnih kršenja sigurnosti u mrežama = Signature i analiza upada. - New Riders Publishing (engleski) St. Petersburg: Williams Publishing House (ruski), 2001. - P. 464. - ISBN 5-8459-0225-8 (ruski), 0-7357-1063-5 (engleski)
  • Morris, R. T.= Slabost u 4.2BSD Unix TCP/IP softveru. - Računarstvo Tehnički izvještaj br.117. - AT&T Bell Laboratories, februar 1985.
  • Bellovin, S. M.= Sigurnosni problemi u paketu TCP/IP protokola. - Pregled kompjuterskih komunikacija, Vol. 19, br.2. - AT&T Bell Laboratories, april 1989.
  • =daemon9/route/infinity "Demistificirano IP-spooliranje: Iskorištavanje realizacije povjerenja." - Phrack Magazine, Vol.7, Issue 48. - Guild Production, jul 1996.
  • =daemon9/route/infinity "Projekat Neptun". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, jul 1996.

Linkovi

  • DoS napad u direktoriju veza projekta Open Directory (

DDoS napad (Distributed Denial of Service napad) je skup radnji koje mogu potpuno ili djelomično onemogućiti internetski resurs. Žrtva može biti gotovo bilo koji Internet resurs, kao što je web stranica, server za igre ili državni resurs. On trenutno Gotovo je nemoguće da haker sam organizira DDoS napad. U većini slučajeva, napadač koristi mrežu računara zaraženih virusom. Virus vam omogućava da dobijete potrebno i dovoljno daljinski pristup na zaraženi računar. Mreža takvih računara naziva se botnet. Botneti po pravilu imaju koordinirajući server. Nakon što je odlučio da izvrši napad, napadač šalje komandu serveru za koordinaciju, koji zauzvrat signalizira svima da počnu da izvršavaju zlonamerne mrežne zahteve.

Razlozi za DDoS napade

  • Lično neprijateljstvo

Ovaj razlog se javlja prilično često. Prije nekog vremena, nezavisni novinar-istraživač Brian Krebs otkrio je aktivnosti najvećeg servisa za izvođenje prilagođenih DDoS napada - vDOS. Informacija je iznesena do svih detalja, što je dovelo do hapšenja organizatora ove usluge. Kao odgovor, hakeri su pokrenuli napad na blog novinara, čija je snaga dostigla 1 Tbit/s. Ovaj napad je bio najsnažniji na svijetu u posljednjih nekoliko godina.

  • Zabava

Danas je sve lakše samostalno organizirati primitivni DDoS napad. Takav napad bi bio krajnje nesavršen i anoniman. Nažalost, većina onih koji odluče da se osjećaju kao “hakeri” nemaju pojma ni o prvom ni o drugom. Međutim, mnogi školarci često praktikuju DDoS napade. Ishod takvih slučajeva može biti vrlo raznolik.

  • Politički protest (haktivizam)

Jedan od prvih društveno motiviranih napada bio je DDoS napad, koji je 1996. implementirao haker Omega. Omega je bio član hakerske koalicije "Cult of the Dead Crew" (cDc). Termin haktivizam postao je popularan u medijima zbog sve učestalosti društveno motivisanih sajber napada. Tipični predstavnici haktivista su grupe Anonymous i LulzSec.

  • Nelojalna konkurencija

Takvi motivi se često javljaju u industriji. serveri za igre, ali u trgovačkoj industriji takvi se slučajevi javljaju prilično često. Dosta efikasan način nelojalna konkurencija koja može uništiti reputaciju trgovačka platforma, ako se njegovi vlasnici na vrijeme ne obrate stručnjacima za pomoć. Ovaj motiv se može izdvojiti među ostalima kao najčešći.

  • Iznuda ili ucjena

U ovom slučaju, napadač od potencijalne žrtve traži novčanu sumu zbog neizvršenja napada. Ili za njegov prekid. Velike organizacije često postaju žrtve ovakvih napada, na primjer, tokom 2014. godine napadnuti su Tinkoff banka i IT resurs Habrahabr, najveći torrent tracker Rutracker.org (kako je to bilo?).

Posljedice DDoS napada

Posljedice DDoS napada mogu biti vrlo različite, od gašenja vašeg servera u podatkovnom centru do potpunog gubitka reputacije resursa i protoka kupaca. Mnoge organizacije, kako bi uštedjele, nesvjesno biraju nesavjesne pružaoce sigurnosti, što često ne donosi nikakvu korist. Kako biste izbjegli takve probleme, preporučujemo da kontaktirate profesionalce u svojoj branši.

Napadi koji su ušli u istoriju Interneta

Tehnološki napredak napreduje skokovima i granicama, a napadači se zauzvrat trude da ne miruju i implementiraju sve složenije i moćnije napade. Sakupili smo kratak opis najzanimljiviji slučajevi koji su ušli u istoriju DDoS napada. Neki od njih mogu izgledati obični prema modernim standardima, ali u vrijeme kada su se dogodili, radilo se o napadima vrlo velikih razmjera.

Ping of Dead. Metoda napada zasnovana na komandi ping. Ovaj napad je stekao popularnost 1990-ih zbog nesavršene mrežne opreme. Suština napada je slanje jednog ping zahtjeva mrežnom čvoru, a tijelo paketa ne uključuje standardna 64 bajta podataka, već 65535 bajtova. Kada je takav paket primljen, mrežni stog opreme bi se prelio i uzrokovao uskraćivanje usluge.

Napad koji je uticao na stabilnost interneta. Spamhaus je 2013. godine bio žrtva napada kapaciteta preko 280 Gbps. Najzanimljivije je da su za napad hakeri koristili DNS servere sa interneta, koji su zauzvrat bili veoma opterećeni velikim brojem zahteva. Tog dana milioni korisnika su se žalili na sporo učitavanje stranica zbog preopterećenosti servisa.

Rekordni napad sa prometom preko 1 Tbit/s. Hakeri su 2016. pokušali da nas napadnu paketnim napadom brzinom od 360 Mpps i 1 Tbps. Ova brojka je postala rekordna od postojanja interneta. Ali čak i pod takvim napadom smo preživjeli, a opterećenje mreže je samo malo ograničilo slobodne resurse mrežne opreme.

Karakteristike današnjih napada

Ne računajući vršne napade, možemo reći da snaga napada svake godine raste više od 3-4 puta. Geografija napadača se iz godine u godinu mijenja samo djelimično, jer je to zbog maksimalnog broja računara u određenoj zemlji. Kao što se vidi iz tromjesečnog izvještaja za 2016. godinu, koji su pripremili naši stručnjaci, rekordne zemlje po broju botova su Rusija, SAD i Kina.

Koje su vrste DDoS napada?

Trenutno se vrste napada mogu podijeliti u 3 klase:

    Napadi poplave kanala

Ova vrsta napada uključuje i;

    Napadi koji iskorištavaju ranjivosti u stogu mrežnih protokola

Najpopularniji i najzanimljiviji napadi ovog tipa su / napad.

Zašto odabrati nas? Naša oprema se nalazi u ključnim data centrima širom sveta i sposobna je da odbije napade do 300 Gbps ili 360 miliona paketa u sekundi. Imamo i mrežu za isporuku sadržaja () i dežurno osoblje inženjera u slučaju nestandardnog napada ili vanrednih situacija. Stoga, uzimajući našu zaštitu, možete biti sigurni u dostupnost svog resursa 24/7. Vjeruju nam: REG.RU, Argumenti i činjenice, WebMoney, ruski radio holding GPM i druge korporacije.

Možete sami implementirati zaštitu od samo malog broja napada, analizom saobraćaja ili postavljanjem pravila rutiranja. Date su metode zaštite od nekih napada.

Očigledno je većina modernih korisnika računarskih sistema čula za koncept DDoS napada. Kako to učiniti sami, naravno, sada se neće razmatrati (osim u informativne svrhe), jer su takve radnje nezakonite u skladu sa bilo kojim zakonodavstvom. Međutim, moći će se saznati što je to općenito i kako sve funkcionira. Ali odmah da primijetimo: materijal koji je u nastavku ne biste trebali doživljavati kao neku vrstu upute ili vodiča za akciju. Informacije su date isključivo u svrhu općeg razumijevanja problema i samo za teorijsko znanje. Upotreba određenih softverskih proizvoda ili organizovanje nezakonitih radnji može povlačiti krivičnu odgovornost.

Šta je DDoS napad na server?

Sam koncept DDoS napada može se tumačiti na osnovu dekodiranja engleske skraćenice. Skraćenica je za Distributed Denial of Service, odnosno, grubo rečeno, uskraćivanje usluge ili performanse.

Ako razumete šta je DDoS napad na server, opšti slučaj ovo je opterećenje resursa kroz povećan broj korisničkih zahtjeva (zahtjeva) preko određenog komunikacijskog kanala, koji, naravno, ima ograničenja na obim prometa kada ih server jednostavno nije u mogućnosti obraditi. Zbog toga dolazi do preopterećenja. Zapravo, softver i hardver servera jednostavno nemaju dovoljno računarskih resursa da se nose sa svim zahtjevima.

Principi organizovanja napada

DDoS napad je u osnovi zasnovan na nekoliko osnovni uslovi. Najvažnije je u prvoj fazi dobiti pristup nekom korisničkom računaru ili čak serveru unošenjem zlonamjernog koda u njega u obliku programa koji se danas najčešće nazivaju trojancima.

Kako sami organizovati DDoS napad u ovoj fazi? Potpuno jednostavno. Takozvani njuškari se mogu koristiti za zarazu računara. Dovoljno je žrtvi poslati pismo email adresa sa prilogom (na primjer, slika koja sadrži izvršni kod), kada se otvori, napadač dobija pristup tuđem računaru preko njegove IP adrese.

Sada nekoliko riječi o tome šta uključuje druga faza, koja uključuje DDoS napad. Kako napraviti sljedeći zahtjev? Neophodno je da se serveru ili Internet resursu pošalje maksimalni broj zahtjeva. Naravno, to se ne može učiniti s jednog terminala, pa ćete morati koristiti dodatnim računarima. Zaključak se nameće sam od sebe: neophodno je da ih uneseni virus zarazi. U pravilu se takve skripte, čije se gotove verzije mogu naći čak i na Internetu, samokopiraju i inficiraju druge terminale u mrežnom okruženju ako su dostupni. aktivna veza ili putem interneta.

Vrste DDoS napada

DDoS napad u opštem smislu naziva se tako samo uslovno. Zapravo, postoje najmanje četiri njegove varijante (iako danas postoji čak 12 modifikacija):

  • pad servera slanjem pogrešnih instrukcija koje treba izvršiti;
  • masovno slanje korisničkih podataka, što dovodi do ciklične verifikacije;
  • poplava - pogrešno formirani zahtjevi;
  • poremećaj komunikacijskog kanala prepunom lažnih adresa.

Istorija izgleda

O napadima ove vrste prvi put su počeli da se priča još 1996. godine, ali tada im niko nije pridavao veliki značaj. Problem je počeo ozbiljno da se osuđuje tek 1999. godine, kada su napadnuti najveći svjetski serveri poput Amazona, Yahooa, E-Tradea, eBaya, CNN-a i drugih.

Posljedice su rezultirale značajnim gubicima zbog prekida rada ovih usluga, iako su u to vrijeme to bili samo djelomični slučajevi. Još uvijek nije bilo govora o raširenoj prijetnji.

Najpoznatiji slučaj DDoS napada

Međutim, kako se kasnije pokazalo, stvar nije bila ograničena na ovo. Najveći DDoS napad u čitavoj istoriji kompjuterskog svijeta zabilježen je 2013. godine, kada je došlo do spora između Spamhausa i holandskog provajdera Cyberbunker.

Prva organizacija je provajdera uvrstila na listu spamera bez obrazloženja, uprkos činjenici da su mnoge ugledne (i ne toliko cenjene) organizacije i servisi koristili njegove servere. Osim toga, serveri provajdera, koliko god to izgledalo čudno, bili su smješteni u bivšem bunkeru NATO-a.

Kao odgovor na takve akcije, Cyberbunker je pokrenuo napad, koji je preuzeo CDN CloudFlare. Prvi udarac je uslijedio 18. marta, sutradan je brzina zahtjeva porasla na 90 Gbit/s, 21. je došlo do zatišja, ali je 22. marta brzina već bila 120 Gbit/s. Nije bilo moguće onemogućiti CloudFlare, pa je brzina povećana na 300 Gbit/s. Do danas, ovo je rekordna brojka.

Šta su DDoS napadni programi?

U pogledu trenutno korištenog softvera, najčešće korištenom aplikacijom smatra se LOIC program, koji, međutim, dozvoljava napade samo na servere sa već poznatim IP i URL adresama. Najžalosnije je što je objavljeno na internetu za besplatno preuzimanje.

Ali, kao što je već jasno, ovu aplikaciju može se koristiti samo u kombinaciji sa softverom koji vam omogućava pristup tuđem računaru. Iz očiglednih razloga, imena i puna uputstva o njihovoj upotrebi ovdje nisu dati.

Kako sami napraviti napad?

Dakle, potreban nam je DDoS napad. Pogledajmo ukratko kako da ga sami napravite. Pretpostavlja se da je njuškalo radio i da imate pristup nečijem terminalu. Kada pokrenete izvršnu datoteku programa Loic.exe, jednostavno unesite tražene adrese u prozor i pritisnite dugme Lock On.

Nakon toga, pri podešavanju brzine prenosa preko HTTP/UDF/TCP protokola, fader se postavlja na maksimalnu vrijednost (10 na zadanom minimumu), nakon čega se tipka IMMA CHARGIN MAH LAZER koristi za početak napada.

Kako se zaštititi od napada?

Kada govorimo o tome koje programe možete pronaći za DDoS napade, ne možete zanemariti alate za zaštitu. Uostalom, čak i treći Newtonov zakon kaže da svaka radnja izaziva reakciju.

U najjednostavnijem slučaju koriste se antivirusi i firewall (tzv. firewall) koji se mogu predstaviti u softverskom obliku ili kao hardver računara. Osim toga, mnogi provajderi sigurnosti mogu preraspodijeliti zahtjeve između nekoliko servera, filtrirati dolazni promet, instalirati duple sisteme zaštite, itd.

Jedna od metoda izvođenja napada je tehnika DNS Amplification - tehnologija slanja rekurzivnih zahtjeva DNS serverima sa nepostojećim povratnim adresama. U skladu s tim, kao zaštitu od takvih nesreća, možete sigurno koristiti univerzalni paket fail2ban, koji vam danas omogućava da instalirate prilično moćnu barijeru za slanje pošte ove vrste.

Šta još trebate znati?

Uglavnom, čak i dijete može dobiti pristup vašem računaru ako želi. Štaviše, čak i neke posebno složene specijalizovane softver neće biti potrebno, a nakon toga može se izvršiti DDoS napad sa vašeg "zombi" računara. Kako to učiniti sami je, općenito, već jasno.

Ali mislim da se ne isplati raditi takve stvari. Istina, neki korisnici početnici i programeri pokušavaju izvesti takve radnje, da tako kažem, iz čisto sportskog interesa. Upamtite: svaki administrator sa znanjem će shvatiti, ako ne vi, onda lokaciju provajdera, čak i ako je u nekoj fazi korišten anonimni proxy server na Internetu. Ne morate ići daleko. Isti WhoIs resurs može pružiti mnogo informacija za koje vi ni ne znate. Pa, onda je, kako kažu, stvar tehnike.

Sve što trebate učiniti je da kontaktirate svog provajdera sa odgovarajućim zahtjevom s naznakom eksterne IP adrese, a on će (u skladu sa međunarodnim standardima) dati podatke o vašoj lokaciji i lične podatke. Prema tome, gore predstavljeni materijal ne treba smatrati poticajem na nezakonite radnje. Ovo je opterećeno prilično ozbiljnim posljedicama.

Ali što se tiče samih napada, vrijedno je reći odvojeno da biste sami trebali poduzeti neke mjere da zaštitite sistem, jer zlonamjernih kodova može čak biti sadržan u internet banerima, kada se klikne na njih, trojanac se može preuzeti na vaš računar. I nisu svi antivirusi u stanju filtrirati takve prijetnje. A o tome da se kompjuter može pretvoriti u neku vrstu zombi kutije se uopće ne raspravlja. Korisnik to možda neće ni primijetiti (osim ako se odlazni promet ne poveća). Instalacija i konfiguracija fail2ban paketa je prilično složena, tako da biste trebali koristiti ozbiljan antivirus (Eset, Kaspersky) kao najprimitivnije sredstvo, a ne besplatne softverske proizvode, a također nemojte onemogućiti vlastite alate Windows zaštita kao zaštitni zid.

Sve češće se tu i tamo u službenim komunikacijama hosting provajdera spominju reflektirani DDoS napadi. Sve češće, kada korisnici otkriju da je njihova web stranica nedostupna, odmah pretpostavljaju DDoS. Zaista, početkom marta Runet je doživio čitav talas takvih napada. U isto vrijeme, stručnjaci uvjeravaju da zabava tek počinje. Jednostavno je nemoguće zanemariti fenomen tako relevantan, prijeteći i intrigantan. Zato danas hajde da pričamo o mitovima i činjenicama o DDoS-u. Sa stanovišta hosting provajdera, naravno.

Dan za pamćenje

Dana 20. novembra 2013. godine, po prvi put u 8-godišnjoj istoriji naše kompanije, kompletna tehnička platforma je bila nedostupna nekoliko sati zbog neviđenog DDoS napada. Deseci hiljada naših kupaca širom Rusije i CIS-a su stradali, a da ne spominjemo nas i našeg internet provajdera. Posljednja stvar koju je provajder uspio snimiti prije nego što je bijelo svjetlo za sve nestalo je da su njegovi ulazni kanali bili čvrsto začepljeni dolaznim saobraćajem. Da biste to vizualizirali, zamislite svoju kadu s običnim odvodom, s Nijagarinim vodopadima koji jure u nju.

Čak su i provajderi više u lancu osjetili posljedice ovog cunamija. Donji grafikoni jasno ilustruju šta se tog dana dešavalo sa internet saobraćajem u Sankt Peterburgu i Rusiji. Obratite pažnju na strme vrhove u 15 i 18 sati, tačno u trenucima kada smo snimali napade. Za ove iznenadne plus 500-700 GB.

Bilo je potrebno nekoliko sati da se lokalizuje napad. Izračunat je server na koji je poslana. Tada je izračunata meta internet terorista. Znate li koga je sva ta neprijateljska artiljerija gađala? Jedna vrlo obična, skromna klijentska stranica.

Mit broj jedan: „Meta napada je uvijek hosting provajder. Ovo su mahinacije njegovih konkurenata. Ne moj." U stvari, najvjerovatnija meta internet terorista je obična klijentska stranica. Odnosno, stranica jednog od vaših susjeda hostinga. Ili možda i tvoj.

Nije sve DDoS...

Nakon događaja na našem tehničkom sajtu 20. novembra 2013. i njihovog delimičnog ponavljanja 9. januara 2014., neki korisnici su počeli da pretpostavljaju DDoS u svakom konkretnom kvaru sopstvene veb stranice: „Ovo je DDoS!“ i "Da li ponovo doživljavate DDoS?"

Važno je zapamtiti da ako pretrpimo takav DDoS da ga čak i naši klijenti osjete, odmah ga sami prijavimo.

Željeli bismo uvjeriti one koji se žure u panici: ako nešto nije u redu s vašom web lokacijom, onda je vjerovatnoća da je u pitanju DDoS manja od 1%. Jednostavno zbog činjenice da se sajtu može dogoditi mnogo stvari, a te „mnoge stvari“ se dešavaju mnogo češće. O metodama za brzu samodijagnozu šta se tačno dešava sa vašim sajtom ćemo govoriti u jednom od sledećih postova.

U međuvremenu, radi tačnosti upotrebe riječi, pojasnimo pojmove.

O terminima

DoS napad (sa engleskog Denial of Service) - Ovo je napad osmišljen da izazove uskraćivanje usluge serveru zbog njegovog preopterećenja.

DoS napadi nisu povezani sa oštećenjem opreme ili krađom informacija; njihov cilj - učinite da server prestane odgovarati na zahtjeve. Osnovna razlika između DoS-a je u tome što se napad dešava sa jedne mašine na drugu. Tačno su dva učesnika.

Ali u stvarnosti, praktično ne vidimo DoS napade. Zašto? Zato što su mete napada najčešće industrijski objekti (na primjer, moćni produktivni serveri hosting kompanija). A da bi se nanijela bilo kakva primjetna šteta radu takve mašine, potrebna je mnogo veća snaga od njene vlastite. Ovo je prva stvar. I drugo, inicijator DoS napada prilično je lako identificirati.

DDoS - u suštini isto što i DoS, samo što je napad distribuirana priroda. Ne pet, ne deset, ne dvadeset, već stotine i hiljade računara istovremeno pristupaju jednom serveru sa različitih mesta. Ova armija mašina se zove botnet. Gotovo je nemoguće identificirati kupca i organizatora.

Saučesnici

Koje vrste računara su uključene u botnet?

Iznenadit ćete se, ali to su često najobičnije kućne mašine. Ko zna?.. - vrlo vjerovatno tvoj kućni računar odveden na stranu zla.

Ne treba ti puno za ovo. Napadač pronalazi ranjivost u popularnom operativni sistem ili aplikaciju i uz nju inficira vaše računalo trojancem, koji u određeni dan i vrijeme nalaže vašem računalu da počne izvršavati određene radnje. Na primjer, šaljite zahtjeve na određenu IP adresu. Bez vašeg znanja i učešća, naravno.

Mit broj dva: « DDoS se radi negdje daleko od mene, u posebnom podzemnom bunkeru gdje sjede bradati hakeri crvenih očiju.” U stvari, ne znajući, vi, vaši prijatelji i komšije - svako može biti nesvjesni saučesnik.

Ovo se zaista dešava. Čak i ako ne razmišljaš o tome. Čak i ako ste užasno daleko od IT-a (pogotovo ako ste daleko od IT-a!).

Zabavna hakerska ili DDoS mehanika

DDoS fenomen nije ujednačen. Ovaj koncept kombinuje mnoge opcije radnji koje dovode do jednog rezultata (uskraćivanje usluge). Pogledajmo probleme koje nam mogu donijeti DDoSeri.

Prekomjerna upotreba računarskih resursa servera

To se radi slanjem paketa na određenu IP adresu, za čiju obradu je potrebna velika količina resursa. Na primjer, učitavanje stranice zahtijeva izvršavanje velikog broja SQL upita. Svi napadači će zatražiti upravo ovu stranicu, što će uzrokovati preopterećenje servera i uskraćivanje usluge za normalne, legitimne posjetitelje stranice.
Ovo je napad na nivou đaka koji je proveo nekoliko večeri čitajući Hacker magazin. Ona nije problem. Isti traženi URL se izračunava trenutno, nakon čega se pristup njemu blokira na nivou web servera. A ovo je samo jedno rješenje.

Preopterećenje komunikacijskih kanala na serveru (izlaz)

Nivo težine ovog napada je otprilike isti kao i prethodni. Napadač odredi najtežu stranicu na sajtu, a botnet pod njegovom kontrolom počinje da je masovno zahteva.


Zamislite da je dio Winnie the Pooha koji je nama nevidljiv beskonačno velik
U ovom slučaju je također vrlo lako razumjeti šta tačno blokira odlazni kanal i spriječiti pristup ovoj stranici. Slični upiti se mogu lako vidjeti koristeći specijalnih uslužnih programa, koji vam omogućavaju da pogledate mrežni interfejs i analizirate promet. Zatim se za Firewall piše pravilo koje blokira takve zahtjeve. Sve se to radi redovno, automatski i tako munjevito da Većina korisnika nije ni svjesna bilo kakvog napada.

Mit broj tri: „A Međutim, rijetko dođu do mog hostinga, a ja ih uvijek primijetim.” U stvari, 99,9% napada ne vidite ili ne osjetite. Ali svakodnevna borba sa njima - Ovo je svakodnevni, rutinski posao hosting kompanije. To je naša realnost, u kojoj je napad jeftin, konkurencija je van granica, a ne pokazuju svi pronicljivost u metodama borbe za mjesto na suncu.

Preopterećenje komunikacijskih kanala na serveru (ulaz)

Ovo je već zadatak za one koji čitaju Hacker magazin više od jednog dana.


Fotografija sa web stranice radija Ekho Moskvy. Nismo pronašli ništa vizualnije da predstavimo DDoS sa preopterećenjem ulaznih kanala.
Da biste napunili kanal dolaznim saobraćajem do kapaciteta, morate imati botnet, čija snaga vam omogućava da generišete potrebnu količinu saobraćaja. Ali možda postoji način da pošaljete malo prometa, a primite puno?

Postoji, i to ne samo jedan. Postoji mnogo opcija za poboljšanje napada, ali jedna od najpopularnijih trenutno je napad preko javnih DNS servera. Stručnjaci ovu metodu nazivaju pojačavanjem DNS pojačanje(u slučaju da neko više voli stručne termine). Pojednostavljeno rečeno, zamislite lavinu: dovoljan je mali napor da se sruši, ali neljudski resursi su dovoljni da je zaustave.

Ti i ja to znamo javni DNS server na zahtjev, svakome daje informacije o bilo kojem nazivu domene. Na primjer, pitamo takav server: recite mi o domeni sprinthost.ru. I bez oklijevanja nam kaže sve što zna.

Upiti DNS serveru je veoma jednostavan rad. Ne košta gotovo ništa da ga kontaktirate; Na primjer, ovako:

Ostaje samo izabrati naziv domene, informacije o kojima će formirati impresivan paket podataka. Tako se originalnih 35 bajtova jednim pokretom zgloba pretvara u skoro 3700. Postoji povećanje od više od 10 puta.

Ali kako možete osigurati da je odgovor poslan na ispravnu IP adresu? Kako lažirati IP izvor zahtjeva tako da DNS server izdaje svoje odgovore u pravcu žrtve koja nije zatražila nikakve podatke?

Činjenica je da DNS serveri rade prema tome UDP komunikacioni protokol, što uopće ne zahtijeva potvrdu izvora zahtjeva. Falsifikovanje odlazne IP adrese u ovom slučaju nije teško za dozer. Zbog toga je ova vrsta napada sada toliko popularna.

Najvažnije je da je vrlo mali botnet dovoljan za takav napad. I nekoliko raštrkanih javnih DNS-ova koji u tome neće vidjeti ništa čudno različitih korisnika s vremena na vrijeme traže podatke na adresu jednog hosta. I tek tada će se sav taj promet spojiti u jedan tok i čvrsto zabiti jednu "cijev".

Ono što dozator ne može znati je kapacitet napadačevih kanala. A ako ne izračuna ispravno snagu svog napada i ne začepi kanal do servera odmah do 100%, napad se može odbiti prilično brzo i lako. Korištenje uslužnih programa poput TCPdump lako je saznati šta dolaznog saobraćaja stiže sa DNS-a, i na nivou zaštitnog zida sprečava da bude prihvaćen. Ova opcija - odbijanje prihvatanja saobraćaja sa DNS-a - povezana je sa određenim neugodnostima za sve, međutim, i serveri i sajtovi na njima će nastaviti da uspešno rade.

Ovo je samo jedna od mnogih mogućih opcija za poboljšanje napada. Ima mnogo drugih vrsta napada, o njima ćemo drugi put. Za sada želim da rezimiram da sve navedeno vrijedi za napad čija snaga ne prelazi širinu kanala do servera.

Ako je napad moćan

Ako snaga napada premašuje kapacitet kanala do servera, događa se sljedeće. Internet kanal do servera je odmah začepljen, zatim do hosting sajta, do njegovog Internet provajdera, do provajdera višeg nivoa, i tako dalje i dalje i naviše (na duži rok - do najapsurdnijih granica), kao koliko je snaga napada dovoljna.

A onda to postaje globalni problem za sve. I ukratko, to je ono sa čim smo se morali pozabaviti 20. novembra 2013. godine. A kada dođe do velikih preokreta, vrijeme je da uključite posebnu magiju!


Ovako izgleda posebna magija Koristeći ovu magiju, moguće je otkriti server na koji je usmjeren promet i blokirati njegov IP na nivou internet provajdera. Tako da prestane da prima bilo kakve zahtjeve prema ovoj IP adresi kroz svoje kanale komunikacije sa vanjskim svijetom (uplinkovi). Za ljubitelje termina: stručnjaci nazivaju ovu proceduru "crna rupa", od engleskog blackhole.

U ovom slučaju napadnuti server sa 500-1500 naloga ostaje bez svog IP-a. Za njega se dodjeljuje nova podmreža IP adresa, za koju nasumično računi klijenata su ravnomjerno raspoređeni. Zatim, stručnjaci čekaju da se napad ponovi. Gotovo uvijek se ponavlja.

A kada se ponovi, napadnuti IP više nema 500-1000 naloga, već samo desetak ili dva.

Krug osumnjičenih se sužava. Ovih 10-20 naloga se ponovo distribuiraju na različite IP adrese. I opet inženjeri u zasjedi čekaju da se napad ponovi. Iznova i iznova distribuiraju naloge koji su ostali pod sumnjom na različite IP adrese i tako, postepeno se približavajući, određuju metu napada. Svi ostali računi u ovom trenutku se vraćaju na normalan rad na istom IP-u.

Kao što je jasno, ovo nije trenutna procedura za koju je potrebno vrijeme.

Mit broj četiri:“Kada dođe do napada velikih razmjera, moj domaćin nema plan akcije. On samo čeka, zatvorenih očiju, da se bombardovanje završi, i odgovara na moja pisma istim tipom odgovora.”To nije istina: u slučaju napada, hosting provajder djeluje prema planu kako bi ga lokalizirao i što je prije moguće otklonio posljedice. A pisma iste vrste omogućavaju vam da prenesete suštinu onoga što se događa i istovremeno uštedite resurse potrebne za rješavanje vanredne situacije što je brže moguće.

Ima li svjetla na kraju tunela?

Sada vidimo da je DDoS aktivnost u stalnom porastu. Naručivanje napada postalo je vrlo pristupačno i nečuveno jeftino. Kako bi se izbjegle optužbe za propagandu, neće biti prooflinkova. Ali vjerujte nam na riječ, istina je.

Mit broj pet: „DDoS napad je veoma skup poduhvat i samo poslovni tajkuni mogu sebi priuštiti da ga naruče. U najmanju ruku, ovo je mahinacija tajnih službi!” Zapravo, ovakvi događaji su postali izuzetno pristupačni.

Stoga se ne može očekivati ​​da će zlonamjerna aktivnost nestati sama od sebe. Naprotiv, samo će se intenzivirati. Ostaje samo iskovati i naoštriti oružje. To je ono što mi radimo, poboljšavajući mrežnu infrastrukturu.

Pravna strana pitanja

Ovo je vrlo nepopularan aspekt rasprave o DDoS napadima, jer rijetko čujemo o slučajevima da su počinioci uhvaćeni i kažnjeni. Međutim, treba da zapamtite: DDoS napad je krivično djelo. U većini zemalja svijeta, uključujući Rusku Federaciju.

Mit broj šest: « Sad znam dovoljno o DDoS-u, naručiću žurku za konkurenta - i ništa mi se neće dogoditi zbog ovoga!” Moguće je da će se to dogoditi. A ako i jeste, neće se činiti mnogo.

Općenito, nikome ne savjetujemo da se upušta u opaku praksu DDoS-a, kako ne bi navukao gnjev pravde i ne bi uništio svoju karmu. A mi, zbog specifičnosti naših aktivnosti i velikog istraživačkog interesa, nastavljamo da proučavamo problem, čuvamo i unapređujemo odbrambene strukture.

PS:nemamo dovoljno lijepih riječi da izrazimo svoju zahvalnost, pa samo kažemo"Hvala!" našim strpljivim klijentima koji su nas toplo podržali u teškom danu 20.11.2013. Rekli ste mnogo ohrabrujućih riječi u našu podršku

Izbor urednika

© 2024 ermake.ru -- O popravci računara - Informativni portal