Kas tiek izmantots ddos ​​uzbrukumiem. Ddos uzbrukums - detalizēts ceļvedis

DoS un DDoS uzbrukums ir agresīva ārēja ietekme uz servera vai darbstacijas skaitļošanas resursiem, kas tiek veikta ar mērķi to novest līdz neveiksmei. Ar kļūmi mēs domājam nevis mašīnas fizisku atteici, bet gan tās resursu nepieejamību bona fide lietotājiem — sistēmas atteikšanos tos apkalpot ( D eniāls o f S ervice, no kā cēlies saīsinājums DoS).

Ja šāds uzbrukums tiek veikts no viena datora, tas tiek klasificēts kā DoS (DoS), ja no vairākiem - DDoS (DiDoS vai DDoS), kas nozīmē "D izdalīts D eniāls o f S ervice" - izplatīts pakalpojuma atteikums. Tālāk mēs runāsim par to, kāpēc uzbrucēji veic šādus uzbrukumus, kādi tie ir, kādu kaitējumu tie nodara uzbruktajam un kā viņi var aizsargāt savus resursus.

Kurš var ciest no DoS un DDoS uzbrukumiem?

Uzbrūk uzņēmumu un vietņu korporatīvajiem serveriem, daudz retāk - personālajiem datoriem privātpersonām. Šādu darbību mērķis, kā likums, ir viens - nodarīt ekonomisku kaitējumu uzbrūkošajai personai un palikt ēnā. Dažos gadījumos DoS un DDoS uzbrukumi ir viens no serveru uzlaušanas posmiem, un to mērķis ir informācijas nozagšana vai iznīcināšana. Faktiski jebkuram piederošs uzņēmums vai vietne var kļūt par uzbrucēju upuri.

Diagramma, kas ilustrē DDoS uzbrukuma būtību:

DoS un DDoS uzbrukumi visbiežāk tiek veikti pēc negodīgu konkurentu pamudinājuma. Tātad, “avarējot” interneta veikala vietni, kas piedāvā līdzīgu preci, uz laiku var kļūt par “monopolistu” un ņemt tā klientus sev. “Noliekot” korporatīvo serveri, jūs varat traucēt konkurējoša uzņēmuma darbu un tādējādi samazināt tā pozīcijas tirgū.

Liela mēroga uzbrukumus, kas var radīt būtisku kaitējumu, parasti veic profesionāli kibernoziedznieki par lielu naudu. Bet ne vienmēr. Jūsu resursiem var uzbrukt pašmāju amatieru hakeri intereses pēc, atriebēji no atlaisto darbinieku vidus un vienkārši tādi, kam nav jūsu uzskati par dzīvi.

Dažreiz trieciens tiek veikts izspiešanas nolūkos, savukārt uzbrucējs atklāti pieprasa naudu no resursa īpašnieka, lai apturētu uzbrukumu.

Valsts uzņēmumu un pazīstamu organizāciju serveriem bieži uzbrūk anonīmas augsti kvalificētu hakeru grupas, lai ietekmētu amatpersonas vai izraisītu sabiedrības rezonansi.

Kā tiek veikti uzbrukumi

DoS un DDoS uzbrukumu darbības princips ir lielas informācijas plūsmas nosūtīšana uz serveri, kas maksimāli (ciktāl to atļauj hakera iespējas) noslogo procesora skaitļošanas resursus, operatīvo atmiņu, aizsprosto sakaru kanālus vai aizpilda vietu diskā. . Uzbrūkošā iekārta nespēj apstrādāt ienākošos datus un pārstāj atbildēt uz lietotāju pieprasījumiem.

Tas izskatās šādi normāla darbība serveris, vizualizēts programmā Logstalgia:

Atsevišķu DOS uzbrukumu efektivitāte nav ļoti augsta. Turklāt uzbrukums no personālā datora pakļauj uzbrucēju riskam tikt identificētam un notvertam. Izkliedētie uzbrukumi (DDoS), kas veikti no tā sauktajiem zombiju tīkliem jeb robottīkliem, sniedz daudz lielāku peļņu.

Tīmekļa vietne Norse-corp.com parāda robottīkla darbību:

Zombiju tīkls (botnet) ir datoru grupa, kuriem nav fiziska savienojuma vienam ar otru. Viņiem kopīgs ir tas, ka viņi visi atrodas uzbrucēja kontrolē. Kontrole tiek veikta caur Trojas programmu, kas pagaidām var arī neizpausties nekādā veidā. Veicot uzbrukumu, hakeris uzdod inficētajiem datoriem nosūtīt pieprasījumus upura vietnei vai serverim. Un viņš, nevarēdams izturēt spiedienu, pārstāj atbildēt.

Lūk, kā Logstalgia parāda DDoS uzbrukumu:

Pilnīgi jebkurš dators var pievienoties robottīklam. Un pat viedtālrunis. Pietiek noķert Trojas zirgu un laicīgi netikt atklāts. Starp citu, lielākais robottīkls sastāvēja no gandrīz 2 miljoniem mašīnu visā pasaulē, un to īpašniekiem nebija ne jausmas, ko viņi dara.

Uzbrukuma un aizsardzības metodes

Pirms uzbrukuma uzsākšanas hakeris izdomā, kā to īstenot ar maksimālu efektu. Ja uzbrukušajam mezglam ir vairākas ievainojamības, triecienu var veikt dažādos virzienos, kas ievērojami sarežģīs pretdarbību. Tāpēc ikvienam servera administratoram ir svarīgi izpētīt visas tā “šaurās vietas” un, ja iespējams, tās nostiprināt.

Plūdi

Plūdi vienkāršā izteiksmē ir informācija, kurai nav nekādas nozīmes. DoS/DDoS uzbrukumu kontekstā plūdi ir tāda vai cita līmeņa tukšu, bezjēdzīgu pieprasījumu lavīna, ko saņemošais mezgls ir spiests apstrādāt.

Plūdu izmantošanas galvenais mērķis ir pilnībā aizsprostot sakaru kanālus un maksimāli piesātināt joslas platumu.

Plūdu veidi:

• MAC flood - ietekme uz tīkla komunikatoriem (bloķē portus ar datu plūsmām).
• ICMP plūdi - upura pārņemšana ar pakalpojumu atbalss pieprasījumiem, izmantojot zombiju tīklu, vai pieprasījumu nosūtīšana uzbruktā mezgla “vārdā”, lai visi robottīkla dalībnieki vienlaikus nosūtītu tam atbalss atbildi (Smurf uzbrukums). Īpašs ICMP plūdu gadījums ir ping plūdi (ping pieprasījumu nosūtīšana serverim).
• SYN plūdi — daudzu SYN pieprasījumu nosūtīšana upurim, TCP savienojuma rindas pārpildīšana, izveidojot liels daudzums pusatvērti (gaida klienta apstiprinājumu) savienojumi.
• UDP flood - darbojas pēc Smurf uzbrukuma shēmas, kur ICMP pakešu vietā tiek nosūtītas UDP datagrammas.
• HTTP plūdi — servera pārpludināšana ar daudziem HTTP ziņojumiem. Sarežģītāka iespēja ir HTTPS plūdi, kur nosūtītie dati tiek iepriekš šifrēti, un pirms uzbrukuma mezgls tos apstrādā, tam tie ir jāatšifrē.

Kā pasargāt sevi no plūdiem

• Konfigurējiet tīkla slēdžus, lai pārbaudītu MAC adrešu derīgumu un filtrētu.
• Ierobežojiet vai atspējojiet ICMP atbalss pieprasījumu apstrādi.
• Bloķējiet paketes, kas nāk no noteiktas adreses vai domēna, kas rada pamatu aizdomām par to neuzticamību.
• Iestatiet ierobežojumu pusatvērto savienojumu skaitam ar vienu adresi, samaziniet to aizturēšanas laiku un pagariniet TCP savienojumu rindu.
• Atspējojiet UDP pakalpojumu saņemšanu no ārpuses vai ierobežojiet UDP savienojumu skaitu.
• Izmantojiet CAPTCHA, aizkaves un citus robotu aizsardzības paņēmienus.
• Palieliniet maksimālo HTTP savienojumu skaitu, konfigurējiet pieprasījumu kešatmiņu, izmantojot nginx.
• Paplašiniet tīkla kanāla jaudu.
• Ja iespējams, atvēliet atsevišķu serveri kriptogrāfijas apstrādei (ja tiek izmantota).
• Izveidojiet rezerves kanālu administratīvai piekļuvei serverim ārkārtas situācijās.

Aparatūras resursu pārslodze

Ir plūdu veidi, kas ietekmē nevis sakaru kanālu, bet gan uzbruktā datora aparatūras resursus, ielādējot tos līdz pilnai jaudai un izraisot iesaldēšanu vai avāriju. Piemēram:

• Izveidot skriptu, kas tiks publicēts forumā vai vietnē, kur lietotājiem ir iespēja atstāt komentārus, milzīgs daudzums bezjēdzīgu teksta informācija līdz visa diska vieta ir pilna.
• Tas pats, tikai servera žurnāli aizpildīs disku.
• Vietnes ielāde, kurā tiek veikta kāda veida ievadīto datu transformācija, nepārtraukti apstrādājot šos datus (sūtot tā sauktās “smagās” paketes).
• Procesora vai atmiņas ielāde, izpildot kodu, izmantojot CGI interfeisu (CGI atbalsts ļauj darbināt jebkuru ārēju programmu serverī).
• Drošības sistēmas iedarbināšana, servera padarīšana nepieejama no ārpuses utt.

Kā pasargāt sevi no aparatūras resursu pārslodzes

• Palieliniet aprīkojuma produktivitāti un apjomu diska vietas. Kad serveris darbojas normāli, vismaz 25–30% resursu jāpaliek brīviem.
• Pirms pārsūtīšanas uz serveri izmantojiet trafika analīzes un filtrēšanas sistēmas.
• Ierobežojiet sistēmas komponentu aparatūras resursu izmantošanu (iestatiet kvotas).
• Saglabājiet servera žurnālfailus atsevišķā diskdzinī.
• Sadaliet resursus pa vairākiem serveriem neatkarīgi viens no otra. Tā, ka, ja viena daļa sabojājas, pārējās paliek darboties.

Operētājsistēmu, programmatūras, ierīču programmaparatūras ievainojamības

Šāda veida uzbrukumu veikšanai ir neizmērojami vairāk iespēju nekā plūdu izmantošanai. To īstenošana ir atkarīga no uzbrucēja kvalifikācijas un pieredzes, viņa spējas atrast kļūdas programmas kods un izmantot tos savā labā un kaitējot resursa īpašniekam.

Kad hakeris atklāj ievainojamību (kļūdu programmatūrā, ko var izmantot, lai traucētu sistēmas darbību), viņam atliek tikai izveidot un palaist exploit – programmu, kas izmanto šo ievainojamību.

Ievainojamību izmantošana ne vienmēr ir paredzēta, lai izraisītu tikai pakalpojuma atteikumu. Ja hakeram paveiksies, viņš varēs iegūt kontroli pār resursu un izmantot šo “likteņa dāvanu” pēc saviem ieskatiem. Piemēram, izmantojiet izplatīšanai ļaunprogrammatūra, zagt un iznīcināt informāciju utt.

Metodes, lai novērstu programmatūras ievainojamību izmantošanu

• Savlaicīgi instalējiet atjauninājumus, kas aptver operētājsistēmu un lietojumprogrammu ievainojamības.
• Izolējiet visus pakalpojumus, kas paredzēti administratīvo uzdevumu risināšanai, no trešo pušu piekļuves.
• Izmantojiet servera OS un programmu darbības nepārtrauktas uzraudzības līdzekļus (uzvedības analīze utt.).
• Atteikties no potenciāli neaizsargātām programmām (bezmaksas, pašu rakstītas, reti atjauninātas), par labu pārbaudītām un labi aizsargātām programmām.
• Izmantojiet gatavus līdzekļus sistēmu aizsardzībai no DoS un DDoS uzbrukumiem, kas pastāv gan aparatūras, gan programmatūras sistēmu veidā.

Kā noteikt, ka resursam ir uzbrukis hakeris

Ja uzbrucējam izdodas sasniegt mērķi, uzbrukumu nav iespējams nepamanīt, taču dažos gadījumos administrators nevar precīzi noteikt, kad tas sākās. Tas ir, dažreiz no uzbrukuma sākuma līdz pamanāmiem simptomiem paiet vairākas stundas. Tomēr slēptās ietekmes laikā (līdz serveris nokrīt) ir arī noteiktas pazīmes. Piemēram:

• Servera lietojumprogrammu vai operētājsistēmas nedabiska uzvedība (sasalst, pārtraukšana ar kļūdām utt.).
• CPU slodze, RAM un uzkrāšanās krasi palielinās salīdzinājumā ar sākotnējo līmeni.
• Ievērojami palielinās satiksmes apjoms vienā vai vairākās ostās.
• No klientiem ir vairāki pieprasījumi tiem pašiem resursiem (atverot vienu un to pašu vietnes lapu, lejupielādējot to pašu failu).
• Serveru žurnālu, ugunsmūra un tīkla ierīces parāda lielu skaitu monotonu pieprasījumu no dažādām adresēm, kas bieži tiek novirzīti uz konkrētu ostu vai pakalpojumu. It īpaši, ja vietne ir paredzēta šaurai auditorijai (piemēram, krieviski runājošai), un pieprasījumi nāk no visas pasaules. Trafika kvalitatīvā analīze liecina, ka pieprasījumiem nav praktiskas nozīmes klientiem.

Viss iepriekš minētais nav 100% uzbrukuma pazīme, taču tas vienmēr ir iemesls pievērst uzmanību problēmai un veikt atbilstošus aizsardzības pasākumus.

Acīmredzot lielākā daļa mūsdienu datorsistēmu lietotāju ir dzirdējuši par DDoS uzbrukuma jēdzienu. Kā to izdarīt pats, protams, tagad netiks izskatīts (izņemot informatīvos nolūkos), jo šādas darbības ir nelikumīgas saskaņā ar jebkuru likumdošanu. Taču, kas tas vispār ir un kā tas viss darbojas, varēs uzzināt. Taču ņemiet vērā uzreiz: jums nevajadzētu uztvert tālāk sniegto materiālu kā sava veida norādījumus vai rīcības rokasgrāmatu. Informācija tiek sniegta tikai vispārīgai problēmas izpratnei un tikai teorētiskām zināšanām. Par noteiktu programmatūras produktu izmantošanu vai nelikumīgu darbību organizēšanu var iestāties kriminālatbildība.

Kas ir DDoS uzbrukums serverim?

Pašu DDoS uzbrukuma jēdzienu var interpretēt, pamatojoties uz angļu valodas saīsinājuma dekodēšanu. Saīsinājums apzīmē Distributed Denial of Service, tas ir, rupji runājot, pakalpojuma vai izpildes atteikums.

Ja jūs saprotat, kas ir DDoS uzbrukums serverim, tad kopumā tā ir resursa noslodze, ko rada palielināts lietotāju pieprasījumu (pieprasījumu) skaits noteiktā sakaru kanālā, kuram, protams, ir ierobežojumi trafika apjomam, kad serveris vienkārši nevar apstrādāt. Sakarā ar to rodas pārslodze. Faktiski servera programmatūrai un aparatūrai vienkārši nav pietiekami daudz skaitļošanas resursu, lai tiktu galā ar visiem pieprasījumiem.

Uzbrukumu organizēšanas principi

DDoS uzbrukums pamatā ir balstīts uz vairākiem pamatnosacījumi. Vissvarīgākais ir pirmajā posmā piekļūt kādam lietotāja datoram vai pat serverim, ievietojot tajā ļaunprātīgu kodu programmu veidā, kuras mūsdienās parasti sauc par Trojas zirgiem.

Kā šajā posmā pašam organizēt DDoS uzbrukumu? Pilnīgi vienkārši. Datoru inficēšanai var izmantot tā sauktos sniffers. Pietiek ar cietušajam nosūtīt vēstuli e-pasta adrese ar pielikumu (piemēram, attēlu, kurā ir izpildāms kods), kad tas tiek atvērts, uzbrucējs iegūst piekļuvi kāda cita datoram, izmantojot tā IP adresi.

Tagad daži vārdi par to, ko ietver otrais posms, kas ietver DDoS uzbrukumu. Kā veikt nākamo pieprasījumu? Nepieciešams, lai serverim vai interneta resursam tiktu nosūtīts maksimālais pieprasījumu skaits. Protams, to nevar izdarīt no viena termināļa, tāpēc jums tas būs jāizmanto papildu datori. Secinājums liecina par sevi: ir nepieciešams, lai ievadītais vīruss tos inficētu. Parasti šādi skripti, kuru gatavās versijas var atrast pat internetā, paškopējas un inficē citus tīkla vides termināļus, ja tādi ir pieejami. aktīvs savienojums vai izmantojot internetu.

DDoS uzbrukumu veidi

DDoS uzbrukumu vispārīgā nozīmē tā sauc tikai nosacīti. Faktiski ir vismaz četras tā šķirnes (lai gan šodien ir pat 12 modifikācijas):

• servera avārija, nosūtot nepareizas izpildāmās instrukcijas;
• lietotāju datu masveida sūtīšana, kas noved pie cikliskas pārbaudes;
• plūdi - nepareizi noformēti pieprasījumi;
• saziņas kanāla traucējumi, pārpildot ar viltus adresēm.

Izskatu vēsture

Pirmo reizi viņi sāka runāt par šāda veida uzbrukumiem tālajā 1996. gadā, bet tad neviens tam nepiešķīra īpašu nozīmi. Problēmu sāka nopietni nosodīt tikai 1999. gadā, kad tika uzbrukts tādiem pasaules lielākajiem serveriem kā Amazon, Yahoo, E-Trade, eBay, CNN u.c.

Sekas radīja ievērojamus zaudējumus šo pakalpojumu traucējumu dēļ, lai gan tolaik tie bija tikai daļēji gadījumi. Par plašiem draudiem vēl nav runāts.

Slavenākais DDoS uzbrukuma gadījums

Tomēr, kā izrādījās vēlāk, lieta neaprobežojās ar to. Lielākais DDoS uzbrukums visā datorpasaules vēsturē tika fiksēts 2013. gadā, kad izcēlās strīds starp Spamhaus un Nīderlandes nodrošinātāju Cyberbunker.

Pirmā organizācija bez paskaidrojumiem iekļāva pakalpojumu sniedzēju surogātpasta izplatītāju sarakstā, neskatoties uz to, ka daudzas cienītas (un ne tik cienītas) organizācijas un dienesti izmantoja tās serverus. Turklāt pakalpojumu sniedzēja serveri, lai cik dīvaini tas nešķistu, atradās bijušajā NATO bunkurā.

Reaģējot uz šādām darbībām, Cyberbunker uzsāka uzbrukumu, kuru pārņēma CDN CloudFlare. Pirmais trieciens bija 18. martā, nākamajā dienā pieprasījumu ātrums pieauga līdz 90 Gbit/s, 21. datumā iestājās klusums, bet 22. martā ātrums jau bija 120 Gbit/s. CloudFlare nebija iespējams atslēgt, tāpēc ātrums tika palielināts līdz 300 Gbit/s. Līdz šim tas ir rekordliels rādītājs.

Kas ir DDoS uzbrukuma programmas?

Šobrīd lietotās programmatūras ziņā par visbiežāk izmantoto aplikāciju tiek uzskatīta programma LOIC, kas tomēr pieļauj uzbrukumus tikai serveriem ar jau zināmām IP un URL adresēm. Skumjākais ir tas, ka tas ir ievietots internetā bezmaksas lejupielādei.

Bet, kā jau ir skaidrs, šo pieteikumu var izmantot tikai kopā ar programmatūra, kas ļauj piekļūt kāda cita datoram. Acīmredzamu iemeslu dēļ nosaukumi un pilnas instrukcijas par to lietošanu šeit nav norādīts.

Kā pašam izdarīt uzbrukumu?

Tātad, mums ir nepieciešams DDoS uzbrukums. Īsi apskatīsim, kā to pagatavot pats. Tiek pieņemts, ka sniffer strādāja un jums ir piekļuve kāda cita terminālim. Kad palaižat programmas Loic.exe izpildāmo failu, vienkārši ievadiet logā vajadzīgās adreses un nospiediet pogu Bloķēt ieslēgtu.

Pēc tam, pielāgojot pārraides ātrumu, izmantojot HTTP/UDF/TCP protokolus, faderam tiek iestatīta maksimālā vērtība (noklusējuma minimums 10), pēc tam tiek izmantota poga IMMA CHARGIN MAH LAZER, lai sāktu uzbrukumu.

Kā pasargāt sevi no uzbrukumiem?

Runājot par to, kādas programmas var atrast DDoS uzbrukumiem, nevar ignorēt aizsardzības rīkus. Galu galā pat Ņūtona trešais likums nosaka, ka jebkura darbība izraisa reakciju.

Pašā vienkāršs gadījums tiek izmantoti antivīrusi un ugunsmūri (tā sauktie ugunsmūri), kurus var uzrādīt vai nu programmatūras formā, vai kā datora aparatūru. Turklāt daudzi drošības nodrošinātāji var pārdalīt pieprasījumus starp vairākiem serveriem, filtrēt ienākošo trafiku, instalēt dublētās aizsardzības sistēmas utt.

Viena no uzbrukumu veikšanas metodēm ir DNS pastiprināšanas tehnika - rekursīvu pieprasījumu nosūtīšanas tehnoloģija DNS serveriem ar neeksistējošām atgriešanas adresēm. Attiecīgi kā aizsardzību pret šādām nelaimēm varat droši izmantot universālo fail2ban pakotni, kas šodien ļauj uzstādīt diezgan spēcīgu barjeru šāda veida sūtījumiem.

Kas vēl jums jāzina?

Kopumā pat bērns var piekļūt jūsu datoram, ja vēlas. Šajā gadījumā nav nepieciešama pat īpaši sarežģīta specializēta programmatūra, un pēc tam DDoS uzbrukumu var veikt no jūsu “zombija” datora. Kā to izdarīt pats, kopumā jau ir skaidrs.

Bet es nedomāju, ka ir vērts darīt šādas lietas. Tiesa, daži lietotāji iesācēji un programmētāji mēģina veikt šādas darbības, tā sakot, tīri sportisku interešu dēļ. Atcerieties: jebkurš zinošs administrators izdomās, ja ne jūs, tad pakalpojumu sniedzēja atrašanās vietu, pat ja kādā posmā internetā tika izmantots anonīms starpniekserveris. Jums nav jāiet tālu. Tas pats WhoIs resurss var sniegt daudz informācijas, par kuru jūs pat nezināt. Nu, tad, kā saka, tas ir tehnikas jautājums.

Jums tikai jāsazinās ar savu pakalpojumu sniedzēju ar atbilstošu pieprasījumu, norādot ārējo IP, un viņš (saskaņā ar starptautiskajiem standartiem) sniegs datus par jūsu atrašanās vietu un personas datiem. Tāpēc iepriekš sniegtais materiāls nav uzskatāms par pamudinājumu uz prettiesiskām darbībām. Tas ir pilns ar diezgan nopietnām sekām.

Bet, kas attiecas uz pašiem uzbrukumiem, ir vērts atsevišķi pateikt, ka jums pašam jāveic daži sistēmas aizsardzībai pasākumi, jo ļaunprātīgi kodi var pat atrasties interneta baneros, uzklikšķinot uz tā, datorā var lejupielādēt Trojas zirgu. Un ne visi antivīrusi spēj filtrēt šādus draudus. Un tas, ka dators var pārvērsties par kaut kādu zombiju kasti, vispār netiek apspriests. Lietotājs to var pat nepamanīt (ja vien netiek palielināta izejošā trafika). Fail2ban pakotnes instalēšana un konfigurēšana ir diezgan sarežģīta, tāpēc kā primitīvākos rīkus vajadzētu izmantot nopietnu antivīrusu (Eset, Kaspersky), nevis bezmaksas. programmatūras produkti, kā arī neatvienojiet savus līdzekļus Windows aizsardzība kā ugunsmūris.

DDoS uzbrukums (Distributed Denial of Service uzbrukums) ir darbību kopums, kas var pilnībā vai daļēji atspējot interneta resursu. Upuris var būt gandrīz jebkurš interneta resurss, piemēram, vietne, spēļu serveris vai valdības resurss. Ieslēgts šobrīd Hakerim vienam pašam organizēt DDoS uzbrukumu ir gandrīz neiespējami. Vairumā gadījumu uzbrucējs izmanto ar vīrusu inficētu datoru tīklu. Vīruss ļauj saņemt nepieciešamo un pietiekamo attālināta piekļuve uz inficēto datoru. Šādu datoru tīklu sauc par robottīklu. Parasti robottīkliem ir koordinējošais serveris. Nolēmis veikt uzbrukumu, uzbrucējs nosūta komandu koordinējošajam serverim, kas savukārt dod signālu ikvienam sākt izpildīt ļaunprātīgus tīkla pieprasījumus.

DDoS uzbrukumu iemesli

• Personiskais naids

Šis iemesls notiek diezgan bieži. Pirms kāda laika neatkarīgais žurnālists-pētnieks Braiens Krebs atklāja lielākā pasūtījuma DDoS uzbrukumu veikšanas dienesta - vDOS - darbības. Informācija tika izklāstīta pilnībā, kā rezultātā organizatori tika aizturēti no šī pakalpojuma. Atbildot uz to, hakeri uzsāka uzbrukumu žurnālista emuāram, kura jauda sasniedza 1 Tbit/s. Šis uzbrukums bija spēcīgākais pasaulē pēdējos gados.

• Izklaide

Mūsdienās kļūst arvien vieglāk patstāvīgi organizēt primitīvu DDoS uzbrukumu. Šāds uzbrukums būtu ārkārtīgi nepilnīgs un anonīms. Diemžēl lielākajai daļai, kas nolemj justies kā “hakerim”, nav ne jausmas ne par pirmo, ne par otro. Tomēr daudzi skolēni bieži praktizē DDoS uzbrukumus. Šādu gadījumu iznākumi var būt ļoti dažādi.

• Politiskais protests (haktivisms)

Viens no pirmajiem sociāli motivētajiem uzbrukumiem bija DDoS uzbrukums, ko 1996. gadā īstenoja Omega hakeris. Omega bija hakeru koalīcijas "Cult of the Dead Crew" (cDc) dalībniece. Termins haktivisms ir kļuvis populārs plašsaziņas līdzekļos, jo pieaug sociāli motivētu kiberuzbrukumu biežums. Tipiski hacktivistu pārstāvji ir grupas Anonymous un LulzSec.

• Negodīga konkurence

Šādi motīvi bieži rodas nozarē. spēļu serveri, bet tirdzniecības nozarē šādi gadījumi notiek diezgan bieži. Pietiekami efektīvs veids negodīga konkurence, kas var sagraut reputāciju tirdzniecības platforma, ja tā īpašnieki laikus nevēršas pēc palīdzības pie speciālistiem. Šo motīvu var atšķirt starp pārējiem kā visizplatītāko.

• Izspiešana vai šantāža

Šajā gadījumā uzbrucējs no potenciālā upura pieprasa naudas summu par uzbrukuma neveikšanu. Vai par tā izbeigšanu. Par šādu uzbrukumu upuriem bieži kļūst lielas organizācijas, piemēram, 2014. gada laikā tika uzbrukts bankai Tinkoff un IT resursam Habrahabr, lielākajam torrentu izsekotājs Rutracker.org (kā tas bija?).

DDoS uzbrukumu sekas

DDoS uzbrukumu sekas var būt ļoti dažādas, sākot no datu centra slēgšanas jūsu serverī līdz pilnīgai resursa reputācijas un klientu plūsmas zaudēšanai. Daudzas organizācijas, lai ietaupītu naudu, neapzināti izvēlas negodīgus drošības nodrošinātājus, kas bieži vien nedod nekādu labumu. Lai izvairītos no šādām problēmām, iesakām sazināties ar savas nozares profesionāļiem.

Uzbrukumi, kas iegāja interneta vēsturē

Tehnoloģiskais progress virzās uz priekšu lēcieniem un robežām un uzbrucēji, savukārt, pieliek visas pūles, lai nestāvētu uz vietas un īstenotu arvien sarežģītākus un jaudīgākus uzbrukumus. Mēs esam savākuši īss apraksts interesantākie gadījumi, kas iegājuši DDoS uzbrukumu vēsturē. Dažas no tām var šķist parastas pēc mūsdienu standartiem, taču tajā laikā, kad tās notika, tie bija ļoti liela mēroga uzbrukumi.

Ping Of Dead. Uzbrukuma metode, kuras pamatā ir ping komanda. Šis uzbrukums ieguva popularitāti deviņdesmitajos gados nepilnīgā tīkla aprīkojuma dēļ. Uzbrukuma būtība ir nosūtīt vienu ping pieprasījumu tīkla mezglam, un paketes pamattekstā ir nevis standarta 64 baiti, bet 65535 baiti. Kad šāda pakete tika saņemta, iekārtas tīkla steks pārpildītos un izraisītu pakalpojuma atteikumu.

Uzbrukums, kas ietekmēja interneta stabilitāti. 2013. gadā Spamhaus kļuva par upuri uzbrukumam, kura jauda pārsniedza 280 Gbps. Interesantākais ir tas, ka uzbrukumam hakeri izmantoja DNS serverus no interneta, kas savukārt bija ļoti noslogoti ar lielu pieprasījumu skaitu. Tajā dienā miljoniem lietotāju sūdzējās par lēnu lapu ielādi pakalpojuma pārslodzes dēļ.

Uzbrukuma ieraksts ar trafiku virs 1 Tbit/s. 2016. gadā hakeri mēģināja mums uzbrukt ar pakešu uzbrukumu ar ātrumu 360 Mpps un 1 Tbps. Šis rādītājs ir kļuvis par rekordu kopš interneta pastāvēšanas. Bet pat pie šāda uzbrukuma mēs izdzīvojām, un tīkla slodze tikai nedaudz ierobežoja tīkla aprīkojuma brīvos resursus.

Uzbrukumu raksturojums mūsdienās

Izņemot pīķa uzbrukumus, mēs varam teikt, ka uzbrukumu spēks katru gadu pieaug vairāk nekā 3-4 reizes. Uzbrucēju ģeogrāfija gadu no gada mainās tikai daļēji, jo tas ir saistīts ar maksimālo datoru skaitu noteiktā valstī. Kā redzams no mūsu speciālistu sagatavotā 2016. gada ceturkšņa pārskata, botu skaita rekordvalstis ir Krievija, ASV un Ķīna.

Kādi ir DDoS uzbrukumu veidi?

Šobrīd uzbrukumu veidus var iedalīt 3 klasēs:

Kanāla plūdu uzbrukumi

Šis uzbrukuma veids ietver un;

Uzbrukumi, kas izmanto tīkla protokolu steka ievainojamības

Populārākie un interesantākie šāda veida uzbrukumi ir / uzbrukums.

Kāpēc izvēlēties mūs? Mūsu aprīkojums atrodas galvenajos datu centros visā pasaulē un spēj atvairīt uzbrukumus līdz 300 Gbps vai 360 miljoniem pakešu sekundē. Mums ir arī satura piegādes tīkls () un inženieru personāls, kas dežurē nestandarta uzbrukuma vai ārkārtas situāciju gadījumā. Tāpēc, uzņemoties mūsu aizsardzību, jūs varat būt pārliecināti par sava resursa pieejamību 24/7. Mums uzticas: REG.RU, Argumenti un fakti, WebMoney, Krievijas radio holdings GPM un citas korporācijas.

Jūs pats varat ieviest aizsardzību tikai pret nelielu skaitu uzbrukumu, analizējot trafiku vai iestatot maršrutēšanas noteikumus. Ir dotas metodes aizsardzībai pret dažiem uzbrukumiem.

Priekš pēdējā laikā mēs varējām pārliecināties, ka DDoS uzbrukumi ir diezgan spēcīgs ierocis informācijas telpā. Izmantojot DDoS uzbrukumus ar liela jauda Varat ne tikai atspējot vienu vai vairākas vietnes, bet arī traucēt visa tīkla segmenta darbību vai izslēgt internetu nelielā valstī. Mūsdienās DDoS uzbrukumi notiek arvien biežāk, un to spēks ar katru reizi palielinās.

Bet kāda ir šāda uzbrukuma būtība? Kas notiek tīklā, kad tas tiek veikts, no kurienes radās ideja to darīt un kāpēc tas ir tik efektīvs? Atbildes uz visiem šiem jautājumiem atradīsit mūsu šodienas rakstā.

DDoS jeb izplatīts pakalpojuma atteikums ir uzbrukums konkrētam tīkla datoram, kura dēļ tas, to pārslogojot, neatbild uz citu lietotāju pieprasījumiem.

Lai saprastu, ko nozīmē ddos ​​uzbrukums, iedomāsimies situāciju: tīmekļa serveris lietotājiem izsniedz vietnes lapas, pieņemsim, ka lapas izveidošana un pilnīga pārsūtīšana uz lietotāja datoru aizņem pussekundi, tad mūsu serveris varēs normāli darboties ar frekvenci divi pieprasījumi sekundē. Ja šādu pieprasījumu būs vairāk, tie tiks ievietoti rindā un apstrādāti, tiklīdz tīmekļa serveris būs brīvs. Visi jaunie pieprasījumi tiek pievienoti rindas beigās. Tagad iedomāsimies, ka pieprasījumu ir daudz, un lielākā daļa no tiem tiek nosūtīti tikai, lai pārslogotu šo serveri.

Ja jaunu pieprasījumu saņemšanas ātrums pārsniedz apstrādes ātrumu, laika gaitā pieprasījumu rinda būs tik gara, ka jauni pieprasījumi faktiski netiks apstrādāti. Šis ir galvenais ddos ​​uzbrukuma princips. Iepriekš šādi pieprasījumi tika sūtīti no vienas IP adreses un to sauca par pakalpojuma atteikuma uzbrukumu - Dead-of-Service, patiesībā šī ir atbilde uz jautājumu, kas ir dos. Taču ar šādiem uzbrukumiem var efektīvi cīnīties, bloķēšanas sarakstam vienkārši pievienojot avota IP adresi vai vairākas, turklāt tīkla joslas platuma ierobežojumu dēļ vairākas ierīces nevar fiziski ģenerēt pietiekamu skaitu pakešu, lai pārslogotu nopietnu serveri.

Tāpēc tagad uzbrukumi tiek veikti no miljoniem ierīču vienlaikus. Nosaukumam tika pievienots vārds Distribed, izrādījās - DDoS. Šīs ierīces vienas pašas neko nenozīmē, un tām var nebūt ļoti ātrs interneta pieslēgums, taču, kad tās visas sāk sūtīt pieprasījumus vienam serverim vienlaikus, tās var sasniegt kopējo ātrumu līdz 10 Tb/s. Un tas jau ir diezgan nopietns rādītājs.

Atliek noskaidrot, kur uzbrucēji iegūst tik daudz ierīču, lai veiktu savus uzbrukumus. Tie ir parasti datori vai dažādas IoT ierīces, kurām uzbrucēji varēja piekļūt. Tas var būt jebkas, videokameras un maršrutētāji ar programmaparatūru, kas ilgu laiku nav atjaunināta, vadības ierīces un parastie to lietotāju datori, kuri kaut kādā veidā noķēra vīrusu un nezina par tā esamību vai nesteidzas to noņemt.

DDoS uzbrukumu veidi

Ir divi galvenie DDoS uzbrukumu veidi, daži ir vērsti uz pārslodzi konkrēta programma un uzbrukumi, kuru mērķis ir pārslogot pašu tīkla kanālu mērķa datoram.

Uzbrukumus programmas pārslodzei sauc arī par uzbrukumiem 7 (OSI tīkla modelī ir septiņi līmeņi, un pēdējais ir atsevišķu lietojumprogrammu līmeņi). Uzbrucējs uzbrūk programmai, kas izmanto daudz servera resursu, nosūtot lielu skaitu pieprasījumu. Galu galā programmai nav laika apstrādāt visus savienojumus. Šis ir veids, par kuru mēs runājām iepriekš.

DoS uzbrukumi interneta kanālam prasa daudz vairāk resursu, taču ar tiem ir daudz grūtāk tikt galā. Ja mēs velkam analoģiju ar osi, tad tie ir uzbrukumi 3-4 līmenim, proti, kanālam vai datu pārsūtīšanas protokolam. Fakts ir tāds, ka jebkuram interneta savienojumam ir savs ātruma ierobežojums, ar kuru var pārsūtīt datus. Ja datu ir daudz, tad tīkla iekārta, tāpat kā programma, sastādīs tos rindā uz pārraidi, un, ja datu apjoms un ātrums, ar kādu tie tiek saņemti, stipri pārsniegs kanāla ātrumu, tas tiks pārslogots. Datu pārraides ātrumu šādos gadījumos var aprēķināt gigabaitos sekundē. Piemēram, mazās Libērijas valsts atvienošanas gadījumā no interneta datu pārraides ātrums bija līdz 5 TB/sek. Tomēr 20-40 Gb/s ir pietiekami, lai pārslogotu lielāko daļu tīkla infrastruktūru.

DDoS uzbrukumu izcelsme

Iepriekš mēs apskatījām, kas ir DDoS uzbrukumi, kā arī DDoS metodes uzbrukumiem, ir pienācis laiks pāriet pie to pirmsākumiem. Vai esat kādreiz domājuši, kāpēc šie uzbrukumi ir tik efektīvi? To pamatā ir militārās stratēģijas, kas izstrādātas un pārbaudītas daudzu gadu desmitu laikā.

Kopumā daudzas no pieejām, lai informācijas drošība pamatojoties uz pagātnes militārajām stratēģijām. Ir Trojas vīrusi, kas atgādina seno Trojas kauju, izspiedējvīrusi, kas nozog jūsu failus izpirkuma maksu dēļ, un DDoS uzbrukumi, kas ierobežo ienaidnieka resursus. Ierobežojot pretinieka iespējas, jūs iegūstat zināmu kontroli pār viņa turpmākajām darbībām. Šī taktika ļoti labi darbojas abiem militārajiem stratēģiem. un kibernoziedzniekiem.

Militārās stratēģijas gadījumā mēs varam ļoti vienkārši domāt par resursu veidiem, kurus var ierobežot, lai ierobežotu ienaidnieka spējas. Ūdens, pārtikas un celtniecības materiālu ierobežošana vienkārši iznīcinātu ienaidnieku. Ar datoriem viss ir savādāk, piemēram, DNS, web serveris, serveri e-pasts. Viņiem visiem ir atšķirīga infrastruktūra, taču ir kaut kas, kas tos vieno. Šis ir tīkls. Bez tīkla jūs nevarēsit piekļūt attālajam pakalpojumam.

Karavadoņi var saindēt ūdeni, sadedzināt labību un izveidot kontrolpunktus. Kibernoziedznieki pakalpojumam var nosūtīt nepareizus datus, iztērēt visu atmiņu vai pilnībā pārslogot visu tīkla kanālu. Arī aizsardzības stratēģijām ir tās pašas saknes. Servera administratoram būs jāuzrauga ienākošā satiksme lai atrastu ļaunprātīgu programmatūru un bloķētu to, pirms tā sasniedz mērķa tīkla kanālu vai programmu.

Dibinātājs un vietnes administrators, aizraujas ar atvērtā pirmkoda programmatūru un operētājsistēma Linux. Pašlaik es izmantoju Ubuntu kā galveno OS. Papildus Linux mani interesē viss, kas saistīts ar informācijas tehnoloģijas un mūsdienu zinātne.