Kas tiek izmantots ddos ​​uzbrukumiem. DOS un DDoS uzbrukumi: koncepcija, veidi, noteikšanas un aizsardzības metodes

Lai pasūtītu DDoS uzbrukumu, nav nepieciešama liela inteliģence. Maksājiet hakeriem un padomājiet par savu konkurentu paniku. Vispirms no direktora krēsla, bet pēc tam no cietuma gultas.

Mēs izskaidrojam, kāpēc vēršanās pie hakeriem ir pēdējā lieta, kas godīgam uzņēmējam jādara, un kādas tam ir sekas.

Kā veikt DDoS uzbrukumupat skolnieks zina

Mūsdienās ikvienam ir pieejami rīki DDoS uzbrukuma organizēšanai. Iesācēju hakeru ienākšanas barjera ir zema. Tāpēc īsu, bet spēcīgu uzbrukumu īpatsvars Krievijas vietnēm uzauga Šķiet, ka hakeru grupas tikai praktizē savas prasmes.

Konkrēts gadījums. 2014. gadā Tatarstānas Republikas izglītības portāls cieta DDoS uzbrukumos. No pirmā acu uzmetiena uzbrukumam nav jēgas: šī nav komerciāla organizācija, un no tās nav ko prasīt. Portālā tiek rādītas atzīmes, stundu grafiki utt. Ne vairāk. Kaspersky Lab eksperti atrada VKontakte grupu, kurā diskutēja studenti un skolēni no Tatarstānas kā veikt DDoS uzbrukumu.

Jauno cīnītāju kopiena pret Tatarstānas Republikas sistēmu

Atvasinātie vaicājumi “kā veikt DDoS uzbrukumu Tatarstānā” noveda kiberdrošības speciālistus uz interesantu paziņojumu. Izpildītāji tika ātri atrasti, un viņiem tas bija jādara atlīdzināt zaudējumus.

Agrāk viņi izplēsa dienasgrāmatu lapas, bet tagad uzlauž tīmekļa vietnes

DDoS uzbrukumu vienkāršības dēļ tos veic iesācēji bez morāles principiem vai izpratnes par savām iespējām. Viņi var arī tālākpārdot klientu datus. DDoS uzbrukumu veicēju atjaunošana ir globāla tendence.

Cietuma termiņš 2017. gada pavasarī saņēma britu students. Kad viņam bija 16 gadu, viņš radīja DDoS uzbrukuma programma Titanium Stresser. Brits no tā pārdošanas nopelnīja 400 tūkstošus sterliņu mārciņu (29 miljonus rubļu). Izmantojot šo DDoS programmu, visā pasaulē tika veikti 2 miljoni uzbrukumu 650 tūkstošiem lietotāju.

Pusaudži izrādījās lielu DDoS grupu Lizard Squad un PoodleCorp dalībnieki. Jaunie amerikāņi nāca klajā ar savu DDoS programmas, bet izmantoja tās, lai uzbruktu spēļu serveriem, lai iegūtu priekšrocības tiešsaistes spēlēs. Tā viņi tika atrasti.

Vai uzņēmuma reputāciju uzticēt vakardienas skolēniem, katrs izlems pats.

Sods parDDoS programmasKrievijā

Kā veikt DDoS uzbrukumuinteresē uzņēmēji, kuri nevēlas spēlēt pēc konkursa noteikumiem. To dara Krievijas Iekšlietu ministrijas direktorāta “K” darbinieki. Viņi noķer izpildītājus.

Krievijas tiesību akti paredz sodu par kibernoziegumiem. Pamatojoties uz pašreizējo praksi, uz DDoS uzbrukuma dalībniekiem var attiekties šādi raksti.

Klienti.Viņu darbības parasti ietilpst- nelikumīga piekļuve ar likumu aizsargātai datora informācijai.

Sods:brīvības atņemšana uz laiku līdz septiņiem gadiem vai naudas sods līdz 500 tūkstošiem rubļu.

Piemērs. Pēc šī panta notiesāts Kurganas pilsētas administrācijas tehniskās informācijas aizsardzības nodaļas darbinieks. Viņš izstrādāja daudzfunkcionālo Meta programmu. Ar tās palīdzību uzbrucējs savāca personas datus par 1,3 miljoniem reģiona iedzīvotāju. Pēc tam es to pārdevu bankām un inkasācijas aģentūrām. Hakera saņēma divu gadu cietumsodu.

Izpildītāji.Kā likums, viņi tiek sodīti ar Krievijas Federācijas Kriminālkodeksa 273. pants - ļaunprātīgu datorprogrammu izveide, izmantošana un izplatīšana.

Sods.Ieslodzījums uz laiku līdz septiņiem gadiem ar naudas sodu līdz 200 tūkstošiem rubļu.

Piemērs.19 gadus vecs students no Toljati saņēma 2,5 gadu nosacītu sodu un naudas sodu 12 miljonu rubļu apmērā. Izmantojot programmas DDoS uzbrukumiem, viņš mēģināja pazemināt informācijas resursus un banku vietnes. Pēc uzbrukuma students izspieda naudu.

Neuzmanīgi lietotāji.Par drošības noteikumu neievērošanu datu uzglabāšanas laikā tiek sodīts ar Krievijas Federācijas Kriminālkodeksa 274. pants - datoru informācijas un informācijas un telekomunikāciju tīklu glabāšanas, apstrādes vai pārraidīšanas līdzekļu darbības noteikumu pārkāpums.

Sods:brīvības atņemšana uz laiku līdz pieciem gadiem vai naudas sods līdz 500 tūkstošiem rubļu.

Piemērs.Ja, piekļūstot informācijai, jebkādā veidā tika nozagta nauda, ​​raksts tiks pārkvalificēts kā krāpšana datorinformācijas jomā (). Tātad divi gadi kolonijas apmetnē saņēma Urālu hakeri, kuri ieguva piekļuvi banku serveriem.

Uzbrukumi medijiem.Ja DDoS uzbrukumi ir vērsti uz žurnālistu tiesību pārkāpšanu, darbības ir pakļautas - žurnālista likumīgas profesionālās darbības traucēšana.

Sods:brīvības atņemšana uz laiku līdz sešiem gadiem vai naudas sods līdz 800 tūkstošiem rubļu.

Piemērs.Šis raksts bieži tiek pārklasificēts grūtākos. Kā veikt DDoS uzbrukumu tie, kas uzbruka Novaja Gazeta, Eho Moskvi un Bolshoy Gorod, zināja. Arī reģionālās publikācijas kļūst par hakeru upuriem.

Krievijā par lietošanu ir bargi sodi DDoS programmas . Anonimitāte jūs neglābs no K direkcijas.

Programmas DDoS uzbrukumiem

Pēc ekspertu domām, 2000 robotprogrammatūras ir pietiekami, lai uzbruktu vidējai vietnei. DDoS uzbrukuma izmaksas sākas no 20 USD (1100 rubļiem). Uzbrukuma kanālu skaits un darbības laiks tiek apspriests individuāli. Ir arī izspiešanas.

Pienācīgs hakeris pirms uzbrukuma veiks pentestu. Militāristi šo metodi dēvētu par "spēkā esošo izlūkošanu". Pentest būtība ir neliels, kontrolēts uzbrukums, lai noskaidrotu vietnes aizsardzības resursus.

Interesants fakts.Kā veikt DDoS uzbrukumuDaudzi cilvēki zina, bet hakera spēku nosaka robottīkls. Bieži vien uzbrucēji viens no otra nozog piekļuves atslēgas “armijām” un pēc tam pārdod tās tālāk. Labi zināms triks ir “izslēgt” Wi-Fi, lai tas piespiedu kārtā atsāknētu un atgrieztos pamata iestatījumos. Šajā stāvoklī parole ir standarta. Pēc tam uzbrucēji iegūst piekļuvi visai organizācijas datplūsmai.

Jaunākā hakeru tendence ir viedierīču uzlaušana, lai tajās instalētu kriptovalūtas kalnračus. Uz šīm darbībām var attiecināt lietošanas klauzulu ļaunprogrammatūra(Krievijas Federācijas Kriminālkodeksa 273. pants). Tātad FSB virsnieki aizturēts sistēmas administrators Misijas vadības centrs. Viņš savā darba iekārtā uzstādīja kalnračus un bagātināja sevi. Uzbrucējs tika identificēts pēc strāvas pārspriegumiem.

Hakeri veiks DDoS uzbrukumu konkurentam. Tad viņi var piekļūt tā skaitļošanas jaudai un iegūt vienu vai divus Bitcoin. Tikai šie ienākumi klientam netiks.

DDoS uzbrukuma pasūtīšanas riski

Apkoposim, izsverot priekšrocības un trūkumus DDoS uzbrukuma pasūtīšanai konkurentiem.

Ja konkurenti ir nokaitinājuši biznesu, hakeri nepalīdzēs. Tie tikai pasliktinās situāciju. Aģentūra "Digital Sharks" nevēlamu informāciju, izmantojot likumīgus līdzekļus.

Ieslēgts datorsistēmu ar mērķi to novest līdz neveiksmei, tas ir, radīt apstākļus, kādos sistēmas legālie (leģitīmie) lietotāji nevar piekļūt sistēmas nodrošinātajiem resursiem (serveriem) vai arī šī piekļuve ir apgrūtināta. “Ienaidnieka” sistēmas kļūme var būt arī solis ceļā uz sistēmas apgūšanu (ja ārkārtas situācijā programmatūra rada jebkādu kritisku informāciju - piemēram, versiju, daļu programmas kods utt.). Bet biežāk tas ir ekonomiskā spiediena mērs: ieņēmumus ģenerējoša pakalpojuma dīkstāve, pakalpojumu sniedzēja rēķini un pasākumi, lai izvairītos no uzbrukuma, būtiski sasniedz "mērķi" kabatā.

Ja uzbrukums tiek veikts vienlaikus no liela skaita datoru, mēs runājam par DDoS uzbrukums(no angļu valodas Izplatīts pakalpojuma atteikums, izplatīts pakalpojuma atteikuma uzbrukums). Dažos gadījumos faktisku DDoS uzbrukumu izraisa netīša darbība, piemēram, populārā interneta resursā ievietojot saiti uz vietni, kas mitināta ne pārāk produktīvā serverī (slashdot efekts). Liels lietotāju pieplūdums izraisa servera pieļaujamās slodzes pārsniegšanu un līdz ar to pakalpojuma atteikšanu dažiem no tiem.

DoS uzbrukumu veidi

Ir dažādi iemesli, kāpēc var rasties DoS stāvoklis:

• Kļūda programmas kodā, kas noved pie piekļuves neizmantotam adrešu telpas fragmentam, nederīgas instrukcijas izpildei vai citam neapstrādātam izņēmumam, kad servera programma - servera programma - avarē. Klasisks piemērs ir apgriešana par nulli. null) adrese.
• Nepietiekama lietotāja datu pārbaude, kas izraisa nebeidzamu vai ilgu ciklu vai palielinātu procesora resursu ilgtermiņa patēriņu (līdz procesora resursu izsmelšanai) vai liela apjoma piešķiršanu RAM(līdz tiek iztērēta pieejamā atmiņa).
• Plūdi(angļu valodā) plūdi- "plūdi", "pārplūde") - uzbrukums, kas saistīts ar lielu skaitu parasti bezjēdzīgu vai nepareizi formatētu pieprasījumu datorsistēmai vai tīkla aprīkojumam, kura mērķis ir vai noved pie sistēmas kļūmes izsmelšanas dēļ. sistēmas resursi- procesors, atmiņa vai sakaru kanāli.
• Otrā veida uzbrukums- uzbrukums, kura mērķis ir izraisīt drošības sistēmas viltus trauksmi un tādējādi novest pie resursa nepieejamības.

Ja uzbrukums (parasti plūdi) tiek veikts vienlaikus ar liels daudzums IP adreses - no vairākiem datoriem, kas izkliedēti tīklā - tad šajā gadījumā to sauc izplatīts pakalpojumu liegšanas uzbrukums ( DDoS).

Kļūdu izmantošana

Ekspluatēt ir programma, programmatūras koda daļa vai programmatūras komandu secība, kas izmanto programmatūras ievainojamības un tiek izmantota, lai veiktu uzbrukumu kibersistēmai. No varoņdarbiem, kas noved pie DoS uzbrukuma, bet nav piemēroti, piemēram, “ienaidnieka” sistēmas kontroles pārņemšanai, zināmākie ir WinNuke un Ping of death.

Plūdi

Par plūdiem kā etiķetes pārkāpumu skatiet plūdi.

Plūdi izsaukt milzīgu bezjēdzīgu pieprasījumu straumi no dažādiem datoriem, lai ar darbu aizņemtu “ienaidnieka” sistēmu (procesoru, RAM vai sakaru kanālu) un tādējādi to īslaicīgi atspējotu. Jēdziens “DDoS uzbrukums” ir gandrīz līdzvērtīgs jēdzienam “plūdi”, un ikdienā abi bieži vien ir savstarpēji aizstājami (“flod the server” = “DDoS the server”).

Plūdu izveidošanai var izmantot gan parastos tīkla utilītus, piemēram, ping (piemēram, ar to ir pazīstama interneta kopiena “Upyachka”), gan īpašas programmas. DDoS iespēja bieži tiek “iesaistīta” robottīklos. Ja vietnē ar lielu trafiku tiek konstatēta starpvietņu skriptēšanas ievainojamība vai iespēja iekļaut attēlus no citiem resursiem, šo vietni var izmantot arī DDoS uzbrukumam.

Sakaru kanāla un TCP apakšsistēmas applūšana

Jebkurš dators, kas savienots ar ārpasauli izmantojot TCP/IP protokolu, kas ir jutīgs pret šādiem plūdu veidiem:

• SYN plūdi - ar šāda veida plūdu uzbrukumu uz uzbrukuma mezglu tiek nosūtīts liels skaits SYN pakešu, izmantojot TCP protokolu (pieprasa atvērt savienojumu). Šādā gadījumā pēc neilga laika uzbrūkošajā datorā ir izsmelts atvēršanai pieejamo ligzdu (programmatūras tīkla ligzdas, porti) skaits un serveris pārstāj reaģēt.
• UDP plūdi - šāda veida plūdi neuzbrūk mērķa datoram, bet gan tā sakaru kanālam. Pakalpojumu sniedzēji pamatoti pieņem, ka vispirms ir jāpiegādā UDP paketes un TCP var gaidīt. Liels skaits dažāda izmēra UDP pakešu aizsprosto sakaru kanālu, un serveris, kas darbojas ar TCP protokolu, pārstāj reaģēt.
• ICMP plūdi ir tas pats, bet izmantojot ICMP paketes.

Lietojumprogrammas līmeņa plūdi

Daudzi pakalpojumi ir izstrādāti tā, ka neliels pieprasījums var izraisīt lielu servera skaitļošanas jaudas patēriņu. Šajā gadījumā tiek uzbrukts nevis sakaru kanālam vai TCP apakšsistēmai, bet gan pašam pakalpojumam - līdzīgu “slimu” pieprasījumu plūdi. Piemēram, tīmekļa serveri ir neaizsargāti pret HTTP pārpludināšanu, lai atspējotu tīmekļa serveri, var izmantot vienkāršu GET / vai sarežģītu datu bāzes pieprasījumu, piemēram, GET /index.php?search=.<случайная строка> .

DoS uzbrukumu noteikšana

Pastāv viedoklis, ka īpaši rīki DoS uzbrukumu noteikšanai nav nepieciešami, jo nevar ignorēt DoS uzbrukuma faktu. Daudzos gadījumos tā ir taisnība. Tomēr diezgan bieži tika novēroti veiksmīgi DoS uzbrukumi, kurus cietušie pamanīja tikai pēc 2-3 dienām. Tas notika, ka uzbrukuma negatīvās sekas ( plūdi-uzbrukumi) radīja nevajadzīgas izmaksas par pārmērīgu interneta trafiku, kas kļuva skaidrs tikai saņemot rēķinu no interneta pakalpojumu sniedzēja. Turklāt daudzas uzbrukumu noteikšanas metodes ir neefektīvas uzbrukuma mērķa tuvumā, bet ir efektīvas tīkla mugurkaulā. Tādā gadījumā vēlams tur uzstādīt atklāšanas sistēmas, nevis gaidīt, kamēr lietotājs, kuram uzbrukts, pats to pamana un vērsīsies pēc palīdzības. Turklāt, lai efektīvi cīnītos pret DoS uzbrukumiem, ir jāzina DoS uzbrukumu veids, raksturs un citas īpašības, un atklāšanas sistēmas ļauj ātri iegūt šo informāciju.

DoS uzbrukumu noteikšanas metodes var iedalīt vairākās lielās grupās:

• paraksts - pamatojoties uz kvalitatīvu satiksmes analīzi.
• statistiskā - pamatojoties uz trafika kvantitatīvo analīzi.
• hibrīds (kombinēts) - apvieno abu iepriekš minēto metožu priekšrocības.

Aizsardzība pret DoS uzbrukumiem

Pasākumus, lai cīnītos pret DoS uzbrukumiem, var iedalīt pasīvajos un aktīvajos, kā arī preventīvajos un reakcionārajos.

Zemāk ir īss galveno metožu saraksts.

• Profilakse. To iemeslu novēršana, kas mudina atsevišķas personas organizēt un uzsākt DoS uzbrukumus. (Ļoti bieži kiberuzbrukumi parasti ir personisku aizvainojumu, politisku, reliģisku un citu nesaskaņu, upura provocējošas uzvedības u.c. rezultāts.)
• Filtrēšana un melns caurums. Bloķēt satiksmi no uzbrūkošajām mašīnām. Šo metožu efektivitāte samazinās, tuvojoties uzbrukuma mērķim, un palielinās, tuvojoties uzbrukuma mašīnai.
• Apgrieztā DDOS- uzbrukumam izmantotās satiksmes novirzīšana uzbrucējam.
• Ievainojamību novēršana. Nedarbojas pret plūdi-uzbrukumi, kuru “ievainojamība” ir noteiktu sistēmas resursu ierobežotība.
• Resursu palielināšana. Protams, tas nenodrošina absolūtu aizsardzību, taču tas ir labs fons, lai izmantotu cita veida aizsardzību pret DoS uzbrukumiem.
• Izkliedēšana. Izkliedētu un lieku sistēmu izveide, kas nepārtrauks apkalpot lietotājus, pat ja daži to elementi kļūs nepieejami DoS uzbrukuma dēļ.
• Izvairīšanās. Uzbrukuma tiešā mērķa (domēna nosaukuma vai IP adreses) pārvietošana prom no citiem resursiem, kas bieži vien ir arī atklāti kopā ar tiešo uzbrukuma mērķi.
• Aktīva reakcija. Ietekme uz uzbrukuma avotiem, organizatoru vai vadības centru, gan tehnoloģiski, gan organizatoriski-juridiski līdzekļi.
• Iekārtu izmantošana DoS uzbrukumu atvairīšanai. Piemēram, DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® un citiem ražotājiem.
• Pakalpojuma iegāde aizsardzībai pret DoS uzbrukumiem. Tas ir svarīgi, ja plūdi pārsniedz tīkla kanāla jaudu.

Skatīt arī

Piezīmes

Literatūra

• Kriss Kasperskis Datorvīrusi iekšā un ārā. - Pēteris. - Sanktpēterburga. : Pēteris, 2006. - 527. lpp. - ISBN 5-469-00982-3
• Stīvens Nortkats, Marks Kūpers, Mets Fērnovs, Kārena Frederika. Tipisku drošības pārkāpumu analīze tīklos = Ielaušanās paraksti un analīze. - New Riders Publishing (angļu valodā) Sanktpēterburga: Williams Publishing House (krievu valodā), 2001. - P. 464. - ISBN 5-8459-0225-8 (krievu valodā), 0-7357-1063-5 (angļu valodā)
• Moriss, R.T.= 4.2BSD Unix TCP/IP programmatūras vājums. - Datorzinātnes tehniskais ziņojums Nr.117. - AT&T Bell Laboratories, 1985. gada februāris.
• Bellovins, S. M.= Drošības problēmas TCP/IP protokola komplektā. - Computer Communication Review, Vol. 19, Nr.2. - AT&T Bell Laboratories, 1989. gada aprīlis.
• =daemon9/route/infinity "IP spolēšana Demystified: Trust Realization Exploitation." - Phrack Magazine, Vol.7, Issue 48. - Guild Production, 1996. gada jūlijs.
• =daemon9/route/infinity "Project Neptune". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, 1996. gada jūlijs.

Saites

• DoS uzbrukums Open Directory Project saišu direktorijā (

DDoS uzbrukums (Distributed Denial of Service uzbrukums) ir darbību kopums, kas var pilnībā vai daļēji atspējot interneta resursu. Upuris var būt gandrīz jebkurš interneta resurss, piemēram, vietne, spēļu serveris vai valdības resurss. Ieslēgts šobrīd Hakerim vienam pašam organizēt DDoS uzbrukumu ir gandrīz neiespējami. Vairumā gadījumu uzbrucējs izmanto ar vīrusu inficētu datoru tīklu. Vīruss ļauj saņemt nepieciešamo un pietiekamo attālināta piekļuve uz inficēto datoru. Šādu datoru tīklu sauc par robottīklu. Parasti robottīkliem ir koordinējošais serveris. Nolēmis veikt uzbrukumu, uzbrucējs nosūta komandu koordinējošajam serverim, kas savukārt dod signālu ikvienam sākt izpildīt ļaunprātīgus tīkla pieprasījumus.

DDoS uzbrukumu iemesli

• Personiskais naids

Šis iemesls notiek diezgan bieži. Pirms kāda laika neatkarīgais žurnālists-pētnieks Braiens Krebs atklāja lielākā pasūtījuma DDoS uzbrukumu veikšanas dienesta - vDOS - darbības. Informācija tika izklāstīta pilnībā, kā rezultātā organizatori tika aizturēti no šī pakalpojuma. Atbildot uz to, hakeri uzsāka uzbrukumu žurnālista emuāram, kura jauda sasniedza 1 Tbit/s. Šis uzbrukums bija spēcīgākais pasaulē pēdējos gados.

• Izklaide

Mūsdienās kļūst arvien vieglāk patstāvīgi organizēt primitīvu DDoS uzbrukumu. Šāds uzbrukums būtu ārkārtīgi nepilnīgs un anonīms. Diemžēl lielākajai daļai, kas nolemj justies kā “hakerim”, nav ne jausmas ne par pirmo, ne par otro. Tomēr daudzi skolēni bieži praktizē DDoS uzbrukumus. Šādu gadījumu iznākumi var būt ļoti dažādi.

• Politiskais protests (haktivisms)

Viens no pirmajiem sociāli motivētajiem uzbrukumiem bija DDoS uzbrukums, ko 1996. gadā īstenoja Omega hakeris. Omega bija hakeru koalīcijas "Cult of the Dead Crew" (cDc) dalībniece. Termins haktivisms ir kļuvis populārs plašsaziņas līdzekļos, jo pieaug sociāli motivētu kiberuzbrukumu biežums. Tipiski hacktivistu pārstāvji ir grupas Anonymous un LulzSec.

• Negodīga konkurence

Šādi motīvi bieži rodas nozarē. spēļu serveri, bet tirdzniecības nozarē šādi gadījumi notiek diezgan bieži. Pietiekami efektīvs veids negodīga konkurence, kas var sagraut reputāciju tirdzniecības platforma, ja tā īpašnieki laikus nevēršas pēc palīdzības pie speciālistiem. Šo motīvu var atšķirt starp pārējiem kā visizplatītāko.

• Izspiešana vai šantāža

Šajā gadījumā uzbrucējs no potenciālā upura pieprasa naudas summu par uzbrukuma neveikšanu. Vai par tā izbeigšanu. Par šādu uzbrukumu upuriem bieži kļūst lielas organizācijas, piemēram, 2014. gada laikā tika uzbrukts bankai Tinkoff un IT resursam Habrahabr, lielākajam torrentu izsekotājs Rutracker.org (kā tas bija?).

DDoS uzbrukumu sekas

DDoS uzbrukumu sekas var būt ļoti dažādas, sākot no datu centra slēgšanas jūsu serverī līdz pilnīgai resursa reputācijas un klientu plūsmas zaudēšanai. Daudzas organizācijas, lai ietaupītu naudu, neapzināti izvēlas negodīgus drošības nodrošinātājus, kas bieži vien nedod nekādu labumu. Lai izvairītos no šādām problēmām, iesakām sazināties ar savas nozares profesionāļiem.

Uzbrukumi, kas iegāja interneta vēsturē

Tehnoloģiskais progress virzās uz priekšu lēcieniem un robežām un uzbrucēji, savukārt, pieliek visas pūles, lai nestāvētu uz vietas un īstenotu arvien sarežģītākus un jaudīgākus uzbrukumus. Mēs esam savākuši īss apraksts interesantākie gadījumi, kas iegājuši DDoS uzbrukumu vēsturē. Dažas no tām var šķist parastas pēc mūsdienu standartiem, taču tajā laikā, kad tās notika, tie bija ļoti liela mēroga uzbrukumi.

Ping Of Dead. Uzbrukuma metode, kuras pamatā ir ping komanda. Šis uzbrukums ieguva popularitāti deviņdesmitajos gados nepilnīgā tīkla aprīkojuma dēļ. Uzbrukuma būtība ir nosūtīt vienu ping pieprasījumu tīkla mezglam, un paketes pamattekstā ir nevis standarta 64 baiti, bet 65535 baiti. Kad šāda pakete tika saņemta, iekārtas tīkla steks pārpildītos un izraisītu pakalpojuma atteikumu.

Uzbrukums, kas ietekmēja interneta stabilitāti. 2013. gadā Spamhaus kļuva par upuri uzbrukumam, kura jauda pārsniedza 280 Gbps. Interesantākais ir tas, ka uzbrukumam hakeri izmantoja DNS serverus no interneta, kas savukārt bija ļoti noslogoti ar lielu pieprasījumu skaitu. Tajā dienā miljoniem lietotāju sūdzējās par lēnu lapu ielādi pakalpojuma pārslodzes dēļ.

Uzbrukuma ieraksts ar trafiku virs 1 Tbit/s. 2016. gadā hakeri mēģināja mums uzbrukt ar pakešu uzbrukumu ar ātrumu 360 Mpps un 1 Tbps. Šis rādītājs ir kļuvis par rekordu kopš interneta pastāvēšanas. Bet pat pie šāda uzbrukuma mēs izdzīvojām, un tīkla slodze tikai nedaudz ierobežoja tīkla aprīkojuma brīvos resursus.

Uzbrukumu raksturojums mūsdienās

Izņemot pīķa uzbrukumus, mēs varam teikt, ka uzbrukumu spēks katru gadu pieaug vairāk nekā 3-4 reizes. Uzbrucēju ģeogrāfija gadu no gada mainās tikai daļēji, jo tas ir saistīts ar maksimālo datoru skaitu noteiktā valstī. Kā redzams no mūsu speciālistu sagatavotā 2016. gada ceturkšņa pārskata, botu skaita rekordvalstis ir Krievija, ASV un Ķīna.

Kādi ir DDoS uzbrukumu veidi?

Šobrīd uzbrukumu veidus var iedalīt 3 klasēs:

Kanāla plūdu uzbrukumi

Šis uzbrukuma veids ietver un;

Uzbrukumi, kas izmanto tīkla protokolu steka ievainojamības

Populārākie un interesantākie šāda veida uzbrukumi ir / uzbrukums.

Kāpēc izvēlēties mūs? Mūsu aprīkojums atrodas galvenajos datu centros visā pasaulē un spēj atvairīt uzbrukumus līdz 300 Gbps vai 360 miljoniem pakešu sekundē. Mums ir arī satura piegādes tīkls () un inženieru personāls, kas dežurē nestandarta uzbrukuma vai ārkārtas situāciju gadījumā. Tāpēc, uzņemoties mūsu aizsardzību, jūs varat būt pārliecināti par sava resursa pieejamību 24/7. Mums uzticas: REG.RU, Argumenti un fakti, WebMoney, Krievijas radio holdings GPM un citas korporācijas.

Jūs pats varat ieviest aizsardzību tikai pret nelielu skaitu uzbrukumu, analizējot trafiku vai iestatot maršrutēšanas noteikumus. Ir dotas metodes aizsardzībai pret dažiem uzbrukumiem.

Acīmredzot lielākā daļa mūsdienu datorsistēmu lietotāju ir dzirdējuši par DDoS uzbrukuma jēdzienu. Kā to izdarīt pats, protams, tagad netiks izskatīts (izņemot informatīvos nolūkos), jo šādas darbības ir nelikumīgas saskaņā ar jebkuru likumdošanu. Taču, kas tas vispār ir un kā tas viss darbojas, varēs uzzināt. Taču ņemiet vērā uzreiz: jums nevajadzētu uztvert tālāk sniegto materiālu kā sava veida norādījumus vai rīcības rokasgrāmatu. Informācija tiek sniegta tikai vispārīgai problēmas izpratnei un tikai teorētiskām zināšanām. Par noteiktu programmatūras produktu izmantošanu vai nelikumīgu darbību organizēšanu var iestāties kriminālatbildība.

Kas ir DDoS uzbrukums serverim?

Pašu DDoS uzbrukuma jēdzienu var interpretēt, pamatojoties uz angļu valodas saīsinājuma dekodēšanu. Saīsinājums apzīmē Distributed Denial of Service, tas ir, rupji runājot, pakalpojuma vai izpildes atteikums.

Ja saprotat, kas ir DDoS uzbrukums serverim, vispārējs gadījums tā ir resursa slodze, ko izraisa palielināts lietotāju pieprasījumu (pieprasījumu) skaits noteiktā saziņas kanālā, kuram, protams, ir ierobežojumi trafika apjomam, ja serveris vienkārši nespēj tos apstrādāt. Sakarā ar to rodas pārslodze. Faktiski servera programmatūrai un aparatūrai vienkārši nav pietiekami daudz skaitļošanas resursu, lai tiktu galā ar visiem pieprasījumiem.

Uzbrukumu organizēšanas principi

DDoS uzbrukums pamatā ir balstīts uz vairākiem pamatnosacījumi. Vissvarīgākais ir pirmajā posmā piekļūt kādam lietotāja datoram vai pat serverim, ievietojot tajā ļaunprātīgu kodu programmu veidā, kuras mūsdienās parasti sauc par Trojas zirgiem.

Kā šajā posmā pašam organizēt DDoS uzbrukumu? Pilnīgi vienkārši. Datoru inficēšanai var izmantot tā sauktos sniffers. Pietiek ar cietušajam nosūtīt vēstuli e-pasta adrese ar pielikumu (piemēram, attēlu, kurā ir izpildāms kods), kad tas tiek atvērts, uzbrucējs iegūst piekļuvi kāda cita datoram, izmantojot tā IP adresi.

Tagad daži vārdi par to, ko ietver otrais posms, kas ietver DDoS uzbrukumu. Kā veikt nākamo pieprasījumu? Nepieciešams, lai serverim vai interneta resursam tiktu nosūtīts maksimālais pieprasījumu skaits. Protams, to nevar izdarīt no viena termināļa, tāpēc jums tas būs jāizmanto papildu datori. Secinājums liecina par sevi: ir nepieciešams, lai ievadītais vīruss tos inficētu. Parasti šādi skripti, kuru gatavās versijas var atrast pat internetā, paškopējas un inficē citus tīkla vides termināļus, ja tādi ir pieejami. aktīvs savienojums vai izmantojot internetu.

DDoS uzbrukumu veidi

DDoS uzbrukumu vispārīgā nozīmē tā sauc tikai nosacīti. Faktiski ir vismaz četras tā šķirnes (lai gan šodien ir pat 12 modifikācijas):

• servera avārija, nosūtot nepareizas izpildāmās instrukcijas;
• lietotāju datu masveida sūtīšana, kas noved pie cikliskas pārbaudes;
• plūdi - nepareizi noformēti pieprasījumi;
• saziņas kanāla traucējumi, pārpildot ar viltus adresēm.

Izskatu vēsture

Pirmo reizi viņi sāka runāt par šāda veida uzbrukumiem tālajā 1996. gadā, bet tad neviens tam nepiešķīra īpašu nozīmi. Problēmu sāka nopietni nosodīt tikai 1999. gadā, kad tika uzbrukts tādiem pasaules lielākajiem serveriem kā Amazon, Yahoo, E-Trade, eBay, CNN u.c.

Sekas radīja ievērojamus zaudējumus šo pakalpojumu traucējumu dēļ, lai gan tolaik tie bija tikai daļēji gadījumi. Par plašiem draudiem vēl nav runāts.

Slavenākais DDoS uzbrukuma gadījums

Tomēr, kā izrādījās vēlāk, lieta neaprobežojās ar to. Lielākais DDoS uzbrukums visā datorpasaules vēsturē tika fiksēts 2013. gadā, kad izcēlās strīds starp Spamhaus un Nīderlandes nodrošinātāju Cyberbunker.

Pirmā organizācija bez paskaidrojumiem iekļāva pakalpojumu sniedzēju surogātpasta izplatītāju sarakstā, neskatoties uz to, ka daudzas cienītas (un ne tik cienītas) organizācijas un dienesti izmantoja tās serverus. Turklāt pakalpojumu sniedzēja serveri, lai cik dīvaini tas nešķistu, atradās bijušajā NATO bunkurā.

Reaģējot uz šādām darbībām, Cyberbunker uzsāka uzbrukumu, kuru pārņēma CDN CloudFlare. Pirmais trieciens bija 18. martā, nākamajā dienā pieprasījumu ātrums pieauga līdz 90 Gbit/s, 21. datumā iestājās klusums, bet 22. martā ātrums jau bija 120 Gbit/s. CloudFlare nebija iespējams atslēgt, tāpēc ātrums tika palielināts līdz 300 Gbit/s. Līdz šim tas ir rekordliels rādītājs.

Kas ir DDoS uzbrukuma programmas?

Šobrīd lietotās programmatūras ziņā par visbiežāk izmantoto aplikāciju tiek uzskatīta programma LOIC, kas tomēr pieļauj uzbrukumus tikai serveriem ar jau zināmām IP un URL adresēm. Skumjākais ir tas, ka tas ir ievietots internetā bezmaksas lejupielādei.

Bet, kā jau ir skaidrs, šo pieteikumu var izmantot tikai kopā ar programmatūru, kas ļauj piekļūt kāda cita datoram. Acīmredzamu iemeslu dēļ nosaukumi un pilnas instrukcijas par to lietošanu šeit nav norādīts.

Kā pašam izdarīt uzbrukumu?

Tātad, mums ir nepieciešams DDoS uzbrukums. Īsi apskatīsim, kā to pagatavot pats. Tiek pieņemts, ka sniffer strādāja un jums ir piekļuve kāda cita terminālim. Kad palaižat programmas Loic.exe izpildāmo failu, vienkārši ievadiet logā vajadzīgās adreses un nospiediet pogu Bloķēt ieslēgtu.

Pēc tam, pielāgojot pārraides ātrumu, izmantojot HTTP/UDF/TCP protokolus, faderam tiek iestatīta maksimālā vērtība (noklusējuma minimums 10), pēc tam tiek izmantota poga IMMA CHARGIN MAH LAZER, lai sāktu uzbrukumu.

Kā pasargāt sevi no uzbrukumiem?

Runājot par to, kādas programmas var atrast DDoS uzbrukumiem, nevar ignorēt aizsardzības rīkus. Galu galā pat Ņūtona trešais likums nosaka, ka jebkura darbība izraisa reakciju.

Vienkāršākajā gadījumā tiek izmantoti antivīrusi un ugunsmūri (tā sauktie ugunsmūri), kurus var uzrādīt vai nu programmatūras formā, vai arī kā datora aparatūru. Turklāt daudzi drošības nodrošinātāji var pārdalīt pieprasījumus starp vairākiem serveriem, filtrēt ienākošo trafiku, instalēt dublētās aizsardzības sistēmas utt.

Viena no uzbrukumu veikšanas metodēm ir DNS pastiprināšanas tehnika - rekursīvu pieprasījumu nosūtīšanas tehnoloģija DNS serveriem ar neeksistējošām atgriešanas adresēm. Attiecīgi kā aizsardzību pret šādām nelaimēm varat droši izmantot universālo fail2ban pakotni, kas šodien ļauj uzstādīt diezgan spēcīgu barjeru šāda veida sūtījumiem.

Kas vēl jums jāzina?

Kopumā pat bērns var piekļūt jūsu datoram, ja vēlas. Turklāt pat daži īpaši sarežģīti specializēti programmatūra nebūs nepieciešams, un pēc tam DDoS uzbrukumu var veikt no jūsu “zombija” datora. Kā to izdarīt pats, kopumā jau ir skaidrs.

Bet es nedomāju, ka ir vērts darīt šādas lietas. Tiesa, daži lietotāji iesācēji un programmētāji mēģina veikt šādas darbības, tā sakot, tīri sportisku interešu dēļ. Atcerieties: jebkurš zinošs administrators izdomās, ja ne jūs, tad pakalpojumu sniedzēja atrašanās vietu, pat ja kādā posmā internetā tika izmantots anonīms starpniekserveris. Jums nav jāiet tālu. Tas pats WhoIs resurss var sniegt daudz informācijas, par kuru jūs pat nezināt. Nu, tad, kā saka, tas ir tehnikas jautājums.

Jums tikai jāsazinās ar savu pakalpojumu sniedzēju ar atbilstošu pieprasījumu, norādot ārējo IP, un viņš (saskaņā ar starptautiskajiem standartiem) sniegs datus par jūsu atrašanās vietu un personas datiem. Tāpēc iepriekš sniegtais materiāls nav uzskatāms par pamudinājumu uz prettiesiskām darbībām. Tas ir pilns ar diezgan nopietnām sekām.

Bet, kas attiecas uz pašiem uzbrukumiem, ir vērts atsevišķi pateikt, ka jums pašam jāveic daži sistēmas aizsardzībai pasākumi, jo ļaunprātīgi kodi var pat atrasties interneta baneros, uzklikšķinot uz tā, datorā var lejupielādēt Trojas zirgu. Un ne visi antivīrusi spēj filtrēt šādus draudus. Un tas, ka dators var pārvērsties par kaut kādu zombiju kasti, vispār netiek apspriests. Lietotājs to var pat nepamanīt (ja vien netiek palielināta izejošā trafika). Fail2ban pakotnes instalēšana un konfigurēšana ir diezgan sarežģīta, tāpēc kā primitīvākos līdzekļus vajadzētu izmantot nopietnu pretvīrusu (Eset, Kaspersky), nevis bezmaksas programmatūras produktus, kā arī neatspējojiet savus rīkus. Windows aizsardzība kā ugunsmūris.

Arvien biežāk oficiālajā saziņā no mitināšanas pakalpojumu sniedzējiem ir atsauces uz atspoguļotiem DDoS uzbrukumiem. Arvien biežāk, kad lietotāji atklāj, ka viņu vietne nav pieejama, viņi nekavējoties pieņem DDoS. Patiešām, marta sākumā Runet piedzīvoja veselu šādu uzbrukumu vilni. Tajā pašā laikā eksperti apliecina, ka jautrība tikai sākas. Ir vienkārši neiespējami ignorēt tik aktuālu, draudīgu un intriģējošu parādību. Tāpēc šodien parunāsim par mītiem un faktiem par DDoS. Protams, no mitināšanas pakalpojumu sniedzēja viedokļa.

Neaizmirstama diena

2013. gada 20. novembrī pirmo reizi mūsu uzņēmuma 8 gadu pastāvēšanas vēsturē visa tehniskā platforma nebija pieejama vairākas stundas nepieredzēta DDoS uzbrukuma dēļ. Cietuši desmitiem tūkstošu mūsu klientu visā Krievijā un NVS valstīs, nemaz nerunājot par mums un mūsu interneta pakalpojumu sniedzēju. Pēdējais, ko pakalpojumu sniedzējam izdevās ierakstīt, pirms baltā gaisma visiem izbalēja, bija tas, ka tā ievades kanāli bija cieši aizsērējuši ienākošo trafiku. Lai to iztēlotu, iedomājieties savu vannu ar parastu noteku, kurā ieplūst Niagāras ūdenskritums.

Pat pakalpojumu sniedzēji, kas atrodas ķēdē, izjuta šī cunami sekas. Zemāk esošie grafiki skaidri parāda, kas tajā dienā notika ar interneta trafiku Sanktpēterburgā un Krievijā. Ņemiet vērā stāvos maksimumus 15 un 18 stundās, tieši tajos brīžos, kad mēs reģistrējām uzbrukumus. Par šiem pēkšņiem plus 500-700 GB.

Uzbrukuma lokalizācija prasīja vairākas stundas. Tika aprēķināts serveris, uz kuru tas tika nosūtīts. Tad tika aprēķināts interneta teroristu mērķis. Vai jūs zināt, kam visa šī ienaidnieka artilērija trāpīja? Viena ļoti parasta, pieticīga klientu vietne.

Mīts numur viens: “Uzbrukuma mērķis vienmēr ir mitināšanas pakalpojumu sniedzējs. Tās ir viņa konkurentu mahinācijas. Nav mans." Patiesībā interneta teroristu visticamākais mērķis ir parasta klienta vietne. Tas ir, viena no jūsu mitināšanas kaimiņa vietne. Vai varbūt arī jūsu.

Ne viss ir DDoS...

Pēc notikumiem mūsu tehniskajā vietnē 2013. gada 20. novembrī un to daļējas atkārtošanās 2014. gada 9. janvārī daži lietotāji sāka pieņemt DDoS jebkurā konkrētā savas vietnes kļūmē: “Tas ir DDoS!” un "Vai jūs atkal saskaraties ar DDoS?"

Ir svarīgi atcerēties, ka, ja mēs ciešam no tāda DDoS, ka to jūt pat mūsu klienti, mēs nekavējoties par to ziņojam paši.

Vēlamies nomierināt tos, kuri steidzas panikā: ja ar jūsu vietni kaut kas nav kārtībā, tad varbūtība, ka tā ir DDoS, ir mazāka par 1%. Vienkārši tāpēc, ka ar vietni var notikt daudzas lietas, un šīs “daudzās lietas” notiek daudz biežāk. Par metodēm ātrai pašdiagnostikai par to, kas tieši notiek ar jūsu vietni, mēs runāsim vienā no tālāk norādītajām ziņām.

Tikmēr vārdu lietojuma precizitātes labad precizēsim terminus.

Par noteikumiem

DoS uzbrukums (no angļu valodas Denial of Service) - Šis ir uzbrukums, kas paredzēts, lai serverim tiktu atteikts pakalpojums tā pārslodzes dēļ.

DoS uzbrukumi nav saistīti ar aprīkojuma bojājumiem vai informācijas zādzību; viņu mērķis - likt serverim pārstāt atbildēt uz pieprasījumiem. Galvenā atšķirība starp DoS ir tā, ka uzbrukums notiek no vienas mašīnas uz otru. Ir tieši divi dalībnieki.

Bet patiesībā mēs praktiski neredzam DoS uzbrukumus. Kāpēc? Jo uzbrukumu mērķi visbiežāk ir industriālie objekti (piemēram, jaudīgi produktīvi hostinga uzņēmumu serveri). Un, lai šādas mašīnas darbībai nodarītu ievērojamu kaitējumu, ir nepieciešama daudz lielāka jauda nekā tai. Šī ir pirmā lieta. Un, otrkārt, DoS uzbrukuma iniciatoru ir diezgan viegli identificēt.

DDoS - būtībā tas pats, kas DoS, tikai uzbrukums ir izplatīta daba. Ne pieci, ne desmit, ne divdesmit, bet simtiem un tūkstošiem datoru piekļūst vienam serverim vienlaikus no dažādām vietām. Šo mašīnu armiju sauc robottīkls. Pasūtītāju un organizatoru identificēt ir gandrīz neiespējami.

Līdzdalībnieki

Kādi datori ir iekļauti robottīklā?

Jūs būsiet pārsteigts, taču šīs bieži vien ir visparastākās mājas mašīnas. Kas zina?.. - ļoti iespējams, jūsu mājas dators aiznests uz ļaunuma pusi.

Šim nolūkam jums nav nepieciešams daudz. Uzbrucējs atrod ievainojamību populārā operētājsistēma vai lietojumprogrammu un ar tās palīdzību inficē jūsu datoru ar Trojas zirgu, kas noteiktā dienā un laikā uzdod jūsu datoram sākt veikt noteiktas darbības. Piemēram, nosūtiet pieprasījumus uz noteiktu IP. Protams, bez jūsu zināšanām un līdzdalības.

Mīts numur divi: « DDoS tiek darīts kaut kur tālu no manis, īpašā pazemes bunkurā, kur sēž bārdaini hakeri ar sarkanām acīm. Patiesībā, to nezinot, jūs, jūsu draugi un kaimiņi - ikviens var būt neapzināts līdzdalībnieks.

Tas tiešām notiek. Pat ja jūs par to nedomājat. Pat ja esi šausmīgi tālu no TĀ (it īpaši, ja esi tālu no TĀ!).

Izklaidējoša uzlaušana vai DDoS mehānika

DDoS parādība nav viendabīga. Šī koncepcija apvieno daudzas darbības iespējas, kas noved pie viena rezultāta (pakalpojuma atteikums). Apskatīsim problēmas, ko mums var sagādāt DDoSers.

Pārmērīga servera skaitļošanas resursu izmantošana

Tas tiek darīts, nosūtot paketes uz konkrētu IP, kuras apstrādei ir nepieciešams liels resursu apjoms. Piemēram, lai ielādētu lapu, ir jāizpilda liels skaits SQL vaicājumu. Visi uzbrucēji pieprasīs tieši šo lapu, kas izraisīs servera pārslodzi un pakalpojuma atteikumu parastiem, likumīgiem vietnes apmeklētājiem.
Šis ir uzbrukums skolēna līmenī, kurš pāris vakarus pavadīja, lasot žurnālu Hacker. Viņa nav problēma. Tas pats pieprasītais URL tiek aprēķināts uzreiz, pēc tam piekļuve tam tiek bloķēta tīmekļa servera līmenī. Un tas ir tikai viens risinājums.

Saziņas kanālu pārslodze uz serveri (izvade)

Šī uzbrukuma grūtības pakāpe ir aptuveni tāda pati kā iepriekšējā. Uzbrucējs nosaka vietnes smagāko lapu, un viņa kontrolē esošais robottīkls sāk to masveidā pieprasīt.

Iedomājieties, ka mums neredzamā Vinnija Pūka daļa ir bezgala liela
Šajā gadījumā ir arī ļoti viegli saprast, kas tieši bloķē izejošo kanālu, un neļaut piekļūt šai lapai. Līdzīgus vaicājumus var viegli redzēt, izmantojot īpaši komunālie pakalpojumi, kas ļauj apskatīt tīkla saskarni un analizēt trafiku. Pēc tam ugunsmūrim tiek uzrakstīts noteikums, kas bloķē šādus pieprasījumus. Tas viss tiek darīts regulāri, automātiski un tik zibenīgi, ka Lielākā daļa lietotāju pat nezina par uzbrukumu.

Mīts numur trīs: "A Tomēr viņi reti sasniedz manu mitināšanu, un es tos vienmēr ievēroju. Patiesībā 99,9% uzbrukumu jūs neredzat un nejūtat. Bet ikdienas cīņa ar viņiem - Šis ir hostinga uzņēmuma ikdienišķs darbs. Tāda ir mūsu realitāte, kurā uzbrukums ir lēts, konkurence ir ārpus saraksta, un ne visi demonstrē saprātīgumu cīņā par vietu saulē.

Saziņas kanālu pārslodze uz serveri (ievade)

Tas jau ir uzdevums tiem, kas žurnālu Hacker lasa vairāk nekā vienu dienu.

Foto no radio Eho Moskvi tīmekļa vietnes. Mēs neatradām neko vizuālāku, lai attēlotu DDoS ar ievades kanālu pārslodzi.
Lai kanālu piepildītu ar ienākošo trafiku līdz jaudai, ir nepieciešams robottīkls, kura jauda ļauj ģenerēt nepieciešamo trafika apjomu. Bet varbūt ir veids, kā nosūtīt mazu trafiku un saņemt daudz?

Ir, un ne tikai viens. Ir daudz uzbrukuma uzlabošanas iespēju, taču viena no šobrīd populārākajām ir uzbrukums, izmantojot publiskos DNS serverus. Speciālisti šo pastiprināšanas metodi sauc DNS pastiprināšana(ja kādam labāk patīk ekspertu termini). Vienkārši sakot, iedomājieties lavīnu: pietiek ar nelielu piepūli, lai to salauztu, bet pietiek ar necilvēcīgiem resursiem, lai to apturētu.

Tu un es to zinām publiskais DNS serveris pēc pieprasījuma sniedz ikvienam informāciju par jebkuru domēna nosaukumu. Piemēram, mēs prasām šādam serverim: pastāstiet man par domēnu sprinthost.ru. Un bez vilcināšanās viņš mums pastāsta visu, ko zina.

Pieprasīt DNS serveri ir ļoti vienkārša darbība. Sazināties ar viņu gandrīz neko nemaksā, lūgums būs mikroskopisks. Piemēram, šādi:

Atliek tikai izvēlēties domēna vārds, informācija par kuru veidos iespaidīgu datu paketi. Tātad sākotnējie 35 baiti ar plaukstas pirkstu pārvēršas par gandrīz 3700. Pieaugums ir vairāk nekā 10 reizes.

Bet kā nodrošināt, ka atbilde tiek nosūtīta uz pareizo IP? Kā izkrāpt pieprasījuma IP avotu, lai DNS serveris sniegtu atbildes upura virzienā, kurš nav pieprasījis nekādus datus?

Fakts ir tāds, ka DNS serveri darbojas saskaņā ar UDP sakaru protokols, kas vispār neprasa pieprasījuma avota apstiprinājumu. Izejošā IP kalšana dozētājam šajā gadījumā nav īpaši sarežģīta. Tāpēc šāda veida uzbrukumi tagad ir tik populāri.

Vissvarīgākais ir tas, ka šāda uzbrukuma veikšanai pietiek ar ļoti mazu robottīklu. Un daži izkaisīti publiskie DNS, kas tajā nesaskatīs neko dīvainu dažādi lietotāji laiku pa laikam viņi pieprasa datus uz viena saimniekdatora adresi. Un tikai tad visa šī satiksme saplūdīs vienā plūsmā un cieši pienaglēs vienu “cauruli”.

Dozētājs nevar zināt uzbrucēja kanālu kapacitāti. Un, ja viņš pareizi neaprēķina sava uzbrukuma jaudu un uzreiz neaizsprosto kanālu uz serveri līdz 100%, uzbrukumu var atvairīt diezgan ātri un vienkārši. Izmantojot tādas utilītas kā TCPdump ir viegli noskaidrot, ko ienākošā satiksme pienāk no DNS, un ugunsmūra līmenī neļauj to pieņemt. Šī iespēja - atteikšanās pieņemt trafiku no DNS - visiem ir saistīta ar zināmām neērtībām, tomēr gan serveri, gan tajos esošās vietnes turpinās veiksmīgi darboties.

Šī ir tikai viena no daudzajām iespējām uzlabot uzbrukumu. Ir daudz citu uzbrukumu veidu, par tiem varam runāt citreiz. Pagaidām vēlos rezumēt, ka viss iepriekš minētais attiecas uz uzbrukumu, kura jauda nepārsniedz servera kanāla platumu.

Ja uzbrukums ir spēcīgs

Ja uzbrukuma jauda pārsniedz servera kanāla kapacitāti, notiek tālāk norādītais. Interneta kanāls uz serveri tiek nekavējoties aizsērēts, pēc tam uz mitināšanas vietni, uz tā interneta pakalpojumu sniedzēju, uz augstāka līmeņa pakalpojumu sniedzēju un tā tālāk un tālāk un uz augšu (ilgtermiņā - līdz absurdākajām robežām), kā ciktāl uzbrukuma jauda ir pietiekama.

Un tad tā kļūst par globālu problēmu ikvienam. Un īsumā, tas ir tas, ar ko mums bija jātiek galā 2013. gada 20. novembrī. Un, kad notiek liela mēroga satricinājumi, ir pienācis laiks ieslēgt īpašu maģiju!

Šādi izskatās īpašā maģija Izmantojot šo maģiju, ir iespējams noskaidrot serveri, uz kuru ir vērsta trafika, un bloķēt tā IP interneta pakalpojumu sniedzēja līmenī. Lai tas pārstātu saņemt jebkādus pieprasījumus uz šo IP, izmantojot sakaru kanālus ar ārpasauli (augšupsaites). Termiņu mīļotājiem: eksperti sauc šo procedūru "melnais caurums", no angļu blackhole.

Šajā gadījumā uzbrukušais serveris ar 500-1500 kontiem paliek bez sava IP. Tam tiek piešķirts jauns IP adrešu apakštīkls, kuram nejauši klientu konti tiek sadalīti vienmērīgi. Tālāk eksperti gaida, kad uzbrukums atkārtosies. Tas gandrīz vienmēr atkārtojas.

Un, kad tas atkārtojas, uzbrukušajam IP vairs nav 500–1000 kontu, bet tikai ducis vai divi.

Aizdomās turamo loks sarūk. Šie 10-20 konti atkal tiek izplatīti dažādās IP adresēs. Un atkal inženieri atrodas slazdā un gaida uzbrukuma atkārtošanos. Atkal un atkal viņi izplata aizdomās palikušos kontus dažādiem IP un tādējādi, pakāpeniski tuvojoties, nosaka uzbrukuma mērķi. Visi pārējie konti šajā brīdī tiek atjaunoti normāla darbība tajā pašā IP.

Kā ir skaidrs, šī procedūra nav tūlītēja, un tās ieviešana prasa laiku.

Mīts numur ceturtais:“Kad notiek liela mēroga uzbrukums, manam saimniekam nav rīcības plāna. Viņš tikai ar aizvērtām acīm gaida, kad beigsies sprādziens, un atbild uz manām vēstulēm ar tāda paša veida atbildēm.Tā nav taisnība: uzbrukuma gadījumā mitināšanas pakalpojumu sniedzējs rīkojas saskaņā ar plānu, lai to lokalizētu un pēc iespējas ātrāk novērstu sekas. Un tāda paša veida vēstules ļauj nodot notiekošā būtību un tajā pašā laikā ietaupīt resursus, kas nepieciešami, lai pēc iespējas ātrāk risinātu ārkārtas situāciju.

Vai tuneļa galā ir gaisma?

Tagad mēs redzam, ka DDoS aktivitāte nepārtraukti pieaug. Uzbrukuma pasūtīšana ir kļuvusi ļoti pieejama un ārkārtīgi lēta. Lai izvairītos no apsūdzībām propagandā, nekādu pierādījumu saišu nebūs. Bet pieņem mūsu vārdu, tā ir taisnība.

Mīts numur piektais: “DDoS uzbrukums ir ļoti dārgs pasākums, un tikai biznesa magnāti var atļauties tādu pasūtīt. Vismaz tās ir slepeno dienestu mahinācijas! Faktiski šādi pasākumi ir kļuvuši ārkārtīgi pieejami.

Tāpēc nevar gaidīt, ka ļaunprātīga darbība izzudīs pati no sevis. Drīzāk tas tikai pastiprināsies. Atliek tikai kalt un asināt ieroci. Tas ir tas, ko mēs darām, uzlabojot tīkla infrastruktūru.

Jautājuma juridiskā puse

Šis ir ļoti nepopulārs aspekts diskusijās par DDoS uzbrukumiem, jo ​​mēs reti dzirdam par gadījumiem, kad vainīgie tiek notverti un sodīti. Tomēr jums vajadzētu atcerēties: DDoS uzbrukums ir noziedzīgs nodarījums. Lielākajā daļā pasaules valstu, ieskaitot Krievijas Federāciju.

Mīts numur sestais: « Tagad es pietiekami daudz zinu par DDoS, pasūtīšu ballīti konkurentam - un man nekas nenotiks! Iespējams, ka tā arī notiks. Un, ja tā notiks, tas nešķitīs daudz.

• DDoS stāsta sākums maksājumu sistēma Palīdzēt
• Aizraujošas beigas

Kopumā mēs nevienam neiesakām iesaistīties ļaunajā DDoS praksē, lai neizraisītu taisnīguma dusmas un nesabojātu savu karmu. Un mēs savas darbības specifikas un asās pētnieciskās intereses dēļ turpinām pētīt problēmu, stāvam sardzē un pilnveidojam aizsardzības struktūras.

PS:mums nav pietiekami daudz laipnu vārdu, lai izteiktu savu pateicību, tāpēc mēs vienkārši sakām"Paldies!" mūsu pacietīgajiem klientiem, kuri mūs sirsnīgi atbalstīja grūtajā 2013. gada 20. novembra dienā. Jūs teicāt daudzus uzmundrinošus vārdus mūsu atbalstam