O que é usado para ataques ddos. Ataques DOS e DDoS: conceito, tipos, métodos de detecção e proteção

Não é preciso muita inteligência para ordenar um ataque DDoS. Pague aos hackers e pense no pânico de seus concorrentes. Primeiro da cadeira do diretor e depois da cama da prisão.

Explicamos por que recorrer a hackers é a última coisa que um empresário honesto deve fazer e quais são as consequências.

Como fazer um ataque DDoSaté um estudante sabe

Hoje, as ferramentas para organizar um ataque DDoS estão disponíveis para todos. A barreira de entrada para hackers novatos é baixa. Portanto, a parcela de ataques curtos, mas fortes, a sites russos cresceu Parece que os grupos de hackers estão apenas praticando suas habilidades.

Caso em questão. Em 2014, o portal Educacional da República do Tartaristão sofreu ataques DDoS. À primeira vista, não adianta atacar: esta não é uma organização comercial e não há nada a pedir dela. O portal exibe notas, horários de aulas e assim por diante. Não mais. Os especialistas da Kaspersky Lab encontraram um grupo VKontakte onde estudantes e crianças em idade escolar do Tartaristão discutiram como fazer um ataque DDoS.

Comunidade de jovens combatentes contra o sistema da República do Tartaristão

Perguntas derivadas de “como fazer um ataque DDoS no Tartaristão” levaram os especialistas em segurança cibernética a um anúncio interessante. Os artistas foram rapidamente encontrados e tiveram que compensar os danos.

Eles costumavam rasgar páginas de diários, mas agora invadem sites

Devido à simplicidade dos ataques DDoS, novatos sem princípios morais ou compreensão de suas capacidades os realizam. Eles também podem revender dados de clientes. O rejuvenescimento dos perpetradores de ataques DDoS é uma tendência global.

Pena de prisão na primavera de 2017 recebido por um estudante britânico. Aos 16 anos criou Programa de ataque DDoS Titanium Stresser. O britânico ganhou 400 mil libras esterlinas (29 milhões de rublos) com a venda. Utilizando este programa DDoS, foram realizados 2 milhões de ataques a 650 mil utilizadores em todo o mundo.

Os adolescentes eram membros de grandes grupos de DDoS, Lizard Squad e PoodleCorp. Os jovens americanos criaram os seus próprios Programas DDoS, mas os utilizou para atacar servidores de jogos para obter vantagens em jogos online. Foi assim que eles foram encontrados.

Se deve confiar a reputação da empresa aos alunos de ontem, cada um decidirá por si.

Punição paraProgramas DDoSna Rússia

Como fazer um ataque DDoSinteressado em empresários que não querem respeitar as regras da concorrência. É isso que fazem os funcionários da Diretoria “K” do Ministério de Assuntos Internos da Rússia. Eles pegam os artistas.

A legislação russa prevê punições para crimes cibernéticos. Com base na prática atual, os participantes de um ataque DDoS podem se enquadrar nos seguintes artigos.

Clientes.Suas ações geralmente se enquadram- acesso ilegal a informações informáticas legalmente protegidas.

Punição:prisão de até sete anos ou multa de até 500 mil rublos.

Exemplo. Um funcionário do departamento de proteção de informações técnicas da administração municipal de Kurgan foi condenado nos termos deste artigo. Ele desenvolveu o programa multifuncional Meta. Com sua ajuda, o invasor coletou dados pessoais de 1,3 milhão de moradores da região. Depois vendi para bancos e agências de cobrança. Hackera recebeu dois anos de prisão.

Artistas.Via de regra, são punidos com Artigo 273 do Código Penal da Federação Russa - criação, uso e distribuição de programas de computador maliciosos.

Punição.Pena de prisão até sete anos com multa de até 200 mil rublos.

Exemplo.Estudante de 19 anos de Tolyatti recebeu pena suspensa de 2,5 anos e multa de 12 milhões de rublos. Usando programas para ataques DDoS, ele tentou derrubar recursos de informação e sites de bancos. Após o ataque, o estudante extorquiu dinheiro.

Usuários descuidados.O incumprimento das regras de segurança no armazenamento de dados é punível com Artigo 274 do Código Penal da Federação Russa - violação das regras para a operação de meios de armazenamento, processamento ou transmissão de informações de computador e redes de informação e telecomunicações.

Punição:prisão de até cinco anos ou multa de até 500 mil rublos.

Exemplo.Caso o dinheiro tenha sido roubado de alguma forma durante o acesso à informação, o artigo será reclassificado como fraude na área de informação informática (). Então, dois anos em um assentamento de colônia recebido por hackers dos Urais que obtiveram acesso aos servidores do banco.

Ataques à mídia.Se os ataques DDoS visam violar os direitos jornalísticos, as ações enquadram-se - obstrução às atividades profissionais legítimas de jornalista.

Punição:prisão de até seis anos ou multa de até 800 mil rublos.

Exemplo.Este artigo é frequentemente reclassificado em artigos mais difíceis. Como fazer um ataque DDoS aqueles que atacaram a Novaya Gazeta, Ekho Moskvy e Bolshoy Gorod sabiam. As publicações regionais também estão se tornando vítimas de hackers.

Na Rússia existem penalidades severas para o uso Programas DDoS . O anonimato não o salvará da Diretoria K.

Programas para ataques DDoS

Segundo especialistas, 2.000 bots são suficientes para atacar um site médio. O custo de um ataque DDoS começa em US$ 20 (1.100 rublos). O número de canais de ataque e o tempo de operação são discutidos individualmente. Também existem extorsões.

Um hacker decente realizará um pentest antes de um ataque. Os militares chamariam esse método de “reconhecimento em vigor”. A essência de um pentest é um ataque pequeno e controlado para descobrir os recursos de defesa do site.

Fato interessante.Como fazer um ataque DDoSMuitas pessoas sabem, mas a força de um hacker é determinada por uma botnet. Freqüentemente, os invasores roubam chaves de acesso aos “exércitos” uns dos outros e depois as revendem. Um truque bem conhecido é “desligar” o wi-fi para que ele reinicie à força e retorne às configurações básicas. Neste estado, a senha é padrão. Em seguida, os invasores obtêm acesso a todo o tráfego da organização.

A última tendência hacker é hackear dispositivos inteligentes para instalar mineradores de criptomoedas neles. Essas ações podem se qualificar sob a cláusula de uso malware(Artigo 273 do Código Penal da Federação Russa). Então, oficiais do FSB detido administrador do sistema Centro de Controle da Missão. Ele instalou mineiros em seus equipamentos de trabalho e enriqueceu. O invasor foi identificado por picos de energia.

Os hackers conduzirão um ataque DDoS contra um concorrente. Então eles podem obter acesso ao seu poder computacional e extrair um ou dois Bitcoins. Só que essa receita não irá para o cliente.

Riscos de ordenar um ataque DDoS

Vamos resumir pesando as vantagens e desvantagens de ordenar um ataque DDoS aos concorrentes.

Se os concorrentes incomodarem os negócios, os hackers não ajudarão. Eles só vão piorar as coisas. Agência "Tubarões Digitais" informações indesejadas por meios legais.

Sobre sistema de computador com o objetivo de levá-lo ao fracasso, ou seja, criar condições sob as quais os usuários legais (legítimos) do sistema não possam acessar os recursos (servidores) disponibilizados pelo sistema, ou esse acesso seja difícil. A falha de um sistema “inimigo” também pode ser um passo para dominar o sistema (se numa situação de emergência o software produzir alguma informação crítica - por exemplo, versão, parte código do programa etc.). Mas, mais frequentemente, isto é uma medida de pressão económica: o tempo de inatividade de um serviço gerador de receitas, as faturas do fornecedor e as medidas para evitar um ataque atingem significativamente o “alvo” no bolso.

Se um ataque é realizado simultaneamente a partir de um grande número de computadores, falamos de Ataque DDoS(do inglês Negação de serviço distribuída, ataque distribuído de negação de serviço). Em alguns casos, um ataque DDoS real é causado por uma ação não intencional, por exemplo, colocar um link para um site hospedado em um servidor não muito produtivo em um recurso popular da Internet (efeito slashdot). Um grande fluxo de usuários leva ao excesso da carga permitida no servidor e, consequentemente, à negação de serviço de alguns deles.

Tipos de ataques DoS

Existem vários motivos pelos quais uma condição DoS pode ocorrer:

• Erro no código do programa, levando ao acesso a um fragmento não utilizado do espaço de endereço, execução de uma instrução inválida ou outra exceção não tratada quando o programa do servidor - o programa do servidor - trava. Um exemplo clássico é a reversão por zero. nulo) endereço.
• Verificação insuficiente dos dados do usuário, levando a um ciclo longo ou interminável ou ao aumento do consumo de recursos do processador a longo prazo (até o esgotamento dos recursos do processador) ou à alocação de uma grande quantidade BATER(até que a memória disponível se esgote).
• Enchente(Inglês) enchente- “inundação”, “estouro”) - um ataque associado a um grande número de solicitações geralmente sem sentido ou formatadas incorretamente a um sistema de computador ou equipamento de rede, visando ou levando à falha do sistema devido à exaustão recursos do sistema- processador, memória ou canais de comunicação.
• Ataque do segundo tipo- um ataque que visa causar um alarme falso no sistema de segurança e, assim, levar à indisponibilidade de um recurso.

Se um ataque (geralmente uma inundação) for realizado simultaneamente com grande quantidade Endereços IP - de vários computadores dispersos na rede - então neste caso é chamado distribuído ataque de negação de serviço ( DDoS).

Exploração de erros

Exploraré um programa, um pedaço de código de software ou uma sequência de comandos de software que explora vulnerabilidades de software e é usado para realizar um ataque a um sistema cibernético. Dos exploits que levam a um ataque DoS, mas são inadequados, por exemplo, para tomar o controle de um sistema “inimigo”, os mais conhecidos são o WinNuke e o Ping da morte.

Enchente

Sobre inundações como violação da netiqueta, consulte inundações.

Enchente chame um enorme fluxo de solicitações sem sentido de diferentes computadores para ocupar o sistema “inimigo” (processador, RAM ou canal de comunicação) com trabalho e, assim, desativá-lo temporariamente. O conceito de “ataque DDoS” é quase equivalente ao conceito de “inundação”, e na vida cotidiana ambos são frequentemente intercambiáveis ​​(“inundar o servidor” = “DDoS o servidor”).

Para criar uma inundação, você pode usar utilitários de rede comuns, como o ping (por exemplo, a comunidade da Internet “Upyachka” é conhecida por isso), bem como programas especiais. A possibilidade de DDoS é frequentemente “programada” em botnets. Se um site com alto tráfego apresentar uma vulnerabilidade de script entre sites ou a capacidade de incluir imagens de outros recursos, esse site também poderá ser usado para um ataque DDoS.

Inundação do canal de comunicação e subsistema TCP

Qualquer computador conectado a mundo exterior via protocolo TCP/IP, suscetível aos seguintes tipos de inundação:

• Inundação SYN - com este tipo de ataque de inundação, um grande número de pacotes SYN são enviados ao nó atacado através do protocolo TCP (solicitações para abrir uma conexão). Neste caso, após um curto período de tempo, o número de soquetes (soquetes de rede de software, portas) disponíveis para abertura se esgota no computador atacado e o servidor para de responder.
• Inundação UDP - esse tipo de inundação não ataca o computador alvo, mas sim seu canal de comunicação. Os provedores presumem razoavelmente que os pacotes UDP devem ser entregues primeiro e que o TCP pode esperar. Um grande número de pacotes UDP de tamanhos diferentes obstrui o canal de comunicação e o servidor executado no protocolo TCP para de responder.
• Inundação ICMP é a mesma coisa, mas usando pacotes ICMP.

Inundação no nível do aplicativo

Muitos serviços são projetados de tal forma que uma pequena solicitação pode causar um grande consumo de poder computacional no servidor. Nesse caso, não é o canal de comunicação ou o subsistema TCP que é atacado, mas o próprio serviço - uma enxurrada de solicitações “doentias” semelhantes. Por exemplo, servidores web são vulneráveis ​​a inundações de HTTP; um simples GET / ou uma solicitação de banco de dados complexa como GET /index.php?search= pode ser usada para desabilitar um servidor web.<случайная строка> .

Detecção de ataques DoS

Existe a opinião de que não são necessárias ferramentas especiais para detectar ataques DoS, uma vez que o fato de um ataque DoS não pode ser ignorado. Em muitos casos isso é verdade. No entanto, muitas vezes foram observados ataques DoS bem-sucedidos, que foram percebidos pelas vítimas somente após 2 a 3 dias. Aconteceu que as consequências negativas do ataque ( enchente-ataques) resultaram em custos desnecessários para pagar o excesso de tráfego de Internet, o que só ficou claro no recebimento de uma fatura do provedor de Internet. Além disso, muitos métodos de detecção de ataques são ineficazes perto do alvo do ataque, mas são eficazes em backbones de rede. Nesse caso, é aconselhável instalar ali sistemas de detecção, em vez de esperar até que o próprio usuário atacado perceba e procure ajuda. Além disso, para combater eficazmente os ataques DoS, é necessário conhecer o tipo, a natureza e outras características dos ataques DoS, e os sistemas de detecção permitem obter rapidamente esta informação.

Os métodos para detectar ataques DoS podem ser divididos em vários grandes grupos:

• assinatura - baseada em análise qualitativa de tráfego.
• estatística - baseada na análise quantitativa do tráfego.
• híbrido (combinado) - combinando as vantagens de ambos os métodos acima.

Proteção contra ataques DoS

As medidas para combater os ataques DoS podem ser divididas em passivas e ativas, bem como preventivas e reacionárias.

Abaixo está uma pequena lista dos principais métodos.

• Prevenção. Prevenção dos motivos que levam certos indivíduos a organizar e lançar ataques DoS. (Muitas vezes, os ataques cibernéticos são geralmente o resultado de queixas pessoais, divergências políticas, religiosas e outras, provocando comportamento da vítima, etc.)
• Filtração e blackholing. Bloqueio de tráfego proveniente de máquinas atacantes. A eficácia desses métodos diminui à medida que você se aproxima do alvo do ataque e aumenta à medida que você se aproxima da máquina atacante.
• DDOS reverso- redirecionamento do tráfego usado para um ataque ao invasor.
• Eliminação de vulnerabilidades. Não funciona contra enchente-ataques para os quais a “vulnerabilidade” é a finitude de certos recursos do sistema.
• Aumentando os recursos. Naturalmente, não fornece proteção absoluta, mas é uma boa base para usar outros tipos de proteção contra ataques DoS.
• Dispersão. Construir sistemas distribuídos e redundantes que não deixarão de servir os usuários, mesmo que alguns de seus elementos fiquem indisponíveis devido a um ataque DoS.
• Evasão. Afastar o alvo imediato do ataque (nome de domínio ou endereço IP) de outros recursos que muitas vezes também estão expostos junto com o alvo imediato do ataque.
• Resposta ativa. Impacto nas fontes, organizador ou centro de controle do ataque, tanto por meios tecnológicos como organizacionais-jurídicos.
• Usando equipamentos para repelir ataques DoS. Por exemplo, DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® e de outros fabricantes.
• Adquirir um serviço para proteção contra ataques DoS. Isto é relevante se a inundação exceder a capacidade do canal da rede.

Veja também

Notas

Literatura

• Chris Kaspersky Vírus de computador por dentro e por fora. - Peter. - São Petersburgo. : Pedro, 2006. - P. 527. - ISBN 5-469-00982-3
• Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Análise de violações típicas de segurança em redes = Assinaturas e Análise de Intrusão. - New Riders Publishing (Inglês) São Petersburgo: Williams Publishing House (Russo), 2001. - P. 464. - ISBN 5-8459-0225-8 (Russo), 0-7357-1063-5 (Inglês)
• Morris, R. T.= Uma fraqueza no software 4.2BSD Unix TCP/IP. - Relatório Técnico de Ciência da Computação No.117. - AT&T Bell Laboratories, fevereiro de 1985.
• Bellovin, S.M.= Problemas de segurança no conjunto de protocolos TCP/IP. - Revisão de Comunicação por Computador, Vol. 19, nº 2. - Laboratórios AT&T Bell, abril de 1989.
• =daemon9/route/infinity "Spooling de IP desmistificado: exploração de realização de confiança." - Phrack Magazine, Vol.7, Edição 48. - Guild Production, julho de 1996.
• =daemon9/route/infinity "Projeto Netuno". - Phrack Magazine, Vol.7, Edição 48. - Guild Production, julho de 1996.

Ligações

• Ataque DoS no diretório de link do Open Directory Project (

O ataque DDoS (ataque distribuído de negação de serviço) é um conjunto de ações que podem desabilitar total ou parcialmente um recurso da Internet. A vítima pode ser quase qualquer recurso da Internet, como um site, um servidor de jogos ou um recurso governamental. Sobre no momentoÉ quase impossível para um hacker organizar sozinho um ataque DDoS. Na maioria dos casos, o invasor usa uma rede de computadores infectados por vírus. O vírus permite que você receba o necessário e suficiente acesso remoto para o computador infectado. Uma rede desses computadores é chamada de botnet. Via de regra, as botnets possuem um servidor coordenador. Tendo decidido realizar um ataque, o invasor envia um comando ao servidor coordenador, que por sua vez sinaliza a todos para começarem a executar solicitações de rede maliciosas.

Razões para ataques DDoS

• Inimizade pessoal

Esse motivo ocorre com bastante frequência. Há algum tempo, o jornalista e pesquisador independente Brian Krebs revelou as atividades do maior serviço de realização de ataques DDoS customizados - vDOS. A informação foi apresentada com todos os detalhes, o que levou à prisão dos organizadores deste serviço. Em resposta, hackers lançaram um ataque ao blog do jornalista, cuja potência atingiu 1 Tbit/s. Este ataque foi o mais poderoso do mundo em anos.

• Entretenimento

Hoje em dia, está se tornando cada vez mais fácil organizar você mesmo um ataque DDoS primitivo. Tal ataque seria extremamente imperfeito e anônimo. Infelizmente, a maioria daqueles que decidem se sentir um “hacker” não tem ideia nem do primeiro nem do segundo. No entanto, muitas crianças em idade escolar praticam frequentemente ataques DDoS. O resultado de tais casos pode ser muito diverso.

• Protesto político (hacktivismo)

Um dos primeiros ataques com motivação social foi o ataque DDoS, implementado em 1996 pelo hacker Omega. Omega era membro da coalizão de hackers "Cult of the Dead Crew" (cDc). O termo hacktivismo tornou-se popular na mídia devido à crescente frequência de ataques cibernéticos com motivação social. Representantes típicos de hacktivistas são os grupos Anonymous e LulzSec.

• Concorrência desleal

Tais motivos ocorrem frequentemente na indústria. servidores de jogos, mas na indústria comercial esses casos ocorrem com bastante frequência. Suficiente maneira eficaz concorrência desleal que pode destruir a reputação plataforma de negociação, se seus proprietários não recorrerem a tempo a especialistas em busca de ajuda. Este motivo pode ser distinguido dos demais como o mais comum.

• Extorsão ou chantagem

Nesse caso, o invasor exige uma quantia em dinheiro da potencial vítima por não ter realizado o ataque. Ou pelo seu término. Grandes organizações muitas vezes são vítimas de tais ataques, por exemplo, durante 2014, o banco Tinkoff e o recurso de TI Habrahabr, o maior rastreador de torrent Rutracker.org (como foi isso?) foram atacados.

Consequências dos ataques DDoS

As consequências dos ataques DDoS podem ser muito diversas, desde o desligamento do servidor pelo data center até a perda completa da reputação do recurso e do fluxo de clientes. Muitas organizações, para economizar dinheiro, escolhem, sem saber, provedores de segurança sem escrúpulos, o que muitas vezes não traz nenhum benefício. Para evitar tais problemas, recomendamos entrar em contato com profissionais do seu setor.

Ataques que fizeram história na Internet

O progresso tecnológico avança a passos largos e os atacantes, por sua vez, estão a fazer todos os esforços para não ficarem parados e implementarem ataques cada vez mais complexos e poderosos. Nós coletamos breve descrição os casos mais interessantes que aconteceram na história dos ataques DDoS. Alguns deles podem parecer comuns para os padrões modernos, mas na época em que ocorreram, eram ataques em grande escala.

Ping dos Mortos. Um método de ataque baseado no comando ping. Este ataque ganhou popularidade na década de 1990 devido a equipamentos de rede imperfeitos. A essência do ataque é enviar uma única solicitação de ping a um nó da rede, e o corpo do pacote inclui não os 64 bytes de dados padrão, mas 65.535 bytes. Quando tal pacote fosse recebido, a pilha de rede do equipamento transbordaria e causaria uma negação de serviço.

Um ataque que afetou a estabilidade da Internet. Em 2013, a Spamhaus foi vítima de um ataque com capacidade superior a 280 Gbps. O mais interessante é que para o ataque os hackers utilizaram servidores DNS da Internet, que por sua vez estavam muito carregados com um grande número de solicitações. Naquele dia, milhões de usuários reclamaram da lentidão no carregamento das páginas devido à sobrecarga do serviço.

Grave ataque com tráfego acima de 1 Tbit/s. Em 2016, hackers tentaram nos atacar com um ataque de pacotes com velocidades de 360 ​​Mpps e 1 Tbps. Este número tornou-se um recorde desde a existência da Internet. Mas mesmo sob tal ataque sobrevivemos e a carga na rede limitou apenas ligeiramente os recursos livres do equipamento de rede.

Características dos ataques hoje

Excluindo os picos de ataques, podemos dizer que o poder dos ataques cresce mais de 3 a 4 vezes por ano. A geografia dos atacantes muda apenas parcialmente de ano para ano, porque isto se deve ao número máximo de computadores num determinado país. Como pode ser verificado no relatório trimestral de 2016, elaborado por nossos especialistas, os países recordistas em número de bots são Rússia, EUA e China.

Quais são os tipos de ataques DDoS?

No momento, os tipos de ataques podem ser divididos em 3 classes:

Ataques de inundação de canais

Este tipo de ataque inclui, e;

Ataques que exploram vulnerabilidades na pilha de protocolos de rede

Os ataques mais populares e interessantes deste tipo são o ataque /.

Por que nos escolher? Nossos equipamentos estão localizados nos principais data centers ao redor do mundo e são capazes de repelir ataques de até 300 Gbps ou 360 milhões de pacotes por segundo. Contamos também com uma rede de distribuição de conteúdo () e uma equipe de engenheiros de plantão em caso de ataque fora do padrão ou situações de emergência. Portanto, ao contratar nossa proteção, você pode ter certeza da disponibilidade do seu recurso 24 horas por dia, 7 dias por semana. Temos a confiança de: REG.RU, Arguments and Facts, WebMoney, rádio russa holding GPM e outras empresas.

Você mesmo pode implementar proteção contra apenas um pequeno número de ataques, analisando o tráfego ou configurando regras de roteamento. Métodos para proteção contra alguns ataques são fornecidos.

Aparentemente, a maioria dos usuários de sistemas de computador modernos já ouviu falar do conceito de ataque DDoS. Como fazer você mesmo, é claro, não será considerado agora (exceto para fins informativos), uma vez que tais ações são ilegais de acordo com qualquer legislação. Porém, será possível descobrir o que é em geral e como tudo funciona. Mas observemos desde já: você não deve interpretar o material apresentado a seguir como uma espécie de instrução ou guia de ação. As informações são fornecidas apenas para fins de compreensão geral do problema e apenas para conhecimento teórico. A utilização de determinados produtos de software ou a organização de ações ilegais pode implicar responsabilidade criminal.

O que é um ataque DDoS em um servidor?

O próprio conceito de ataque DDoS pode ser interpretado com base na decodificação da abreviatura inglesa. A abreviatura significa Distributed Denial of Service, ou seja, grosso modo, negação de serviço ou desempenho.

Se você entende o que é um ataque DDoS em um servidor, caso geral trata-se de uma carga de recurso por meio de um número crescente de solicitações (solicitações) de usuários em um determinado canal de comunicação, que, naturalmente, possui restrições no volume de tráfego quando o servidor simplesmente não consegue processá-los. Por causa disso, ocorre sobrecarga. Na verdade, o software e o hardware do servidor simplesmente não possuem recursos computacionais suficientes para lidar com todas as solicitações.

Princípios de organização de ataques

Um ataque DDoS baseia-se fundamentalmente em vários condições básicas. O mais importante é, no primeiro estágio, obter acesso ao computador de algum usuário ou mesmo ao servidor, introduzindo nele código malicioso na forma de programas que hoje são comumente chamados de Trojans.

Como organizar você mesmo um ataque DDoS nesta fase? Completamente simples. Os chamados sniffers podem ser usados ​​para infectar computadores. Basta enviar à vítima uma carta para endereço de email com um anexo (por exemplo, uma imagem contendo código executável), quando aberto, o invasor obtém acesso ao computador de outra pessoa por meio de seu endereço IP.

Agora, algumas palavras sobre o que envolve a segunda etapa, que envolve um ataque DDoS. Como fazer a próxima solicitação? É necessário que o número máximo de solicitações seja enviado ao servidor ou recurso da Internet. Naturalmente, isso não pode ser feito a partir de um terminal, então você terá que usar computadores adicionais. A conclusão sugere-se: é necessário que o vírus introduzido os infecte. Via de regra, esses scripts, cujas versões prontas podem ser encontradas até na Internet, são autocopiados e infectam outros terminais no ambiente de rede, se disponíveis. conexão ativa ou através da Internet.

Tipos de ataques DDoS

Um ataque DDoS no sentido geral é chamado assim apenas condicionalmente. Na verdade, existem pelo menos quatro variedades dele (embora hoje existam até 12 modificações):

• travamento do servidor enviando instruções incorretas para serem executadas;
• envio em massa de dados do usuário, levando à verificação cíclica;
• inundação - solicitações formadas incorretamente;
• interrupção do canal de comunicação por transbordamento de endereços falsos.

História da aparência

Começaram a falar sobre ataques deste tipo em 1996, mas depois ninguém lhe deu muita importância. O problema começou a ser seriamente condenado apenas em 1999, quando os maiores servidores do mundo como Amazon, Yahoo, E-Trade, eBay, CNN, etc. foram atacados.

As consequências resultaram em perdas significativas devido à interrupção destes serviços, embora naquela altura estes fossem apenas casos parciais. Ainda não se falou de uma ameaça generalizada.

O caso mais famoso de ataque DDoS

No entanto, como se viu mais tarde, o assunto não se limitou a isso. O maior ataque DDoS de toda a história do mundo da informática foi registrado em 2013, quando surgiu uma disputa entre a Spamhaus e o provedor holandês Cyberbunker.

A primeira organização, sem explicação, incluiu o provedor na lista de spammers, apesar de muitas organizações e serviços respeitados (e não tão respeitados) utilizarem seus servidores. Além disso, os servidores do provedor, por mais estranho que pareça, estavam localizados em um antigo bunker da OTAN.

Em resposta a tais ações, o Cyberbunker lançou um ataque, que foi assumido pelo CDN CloudFlare. O primeiro golpe veio no dia 18 de março, no dia seguinte a velocidade das solicitações aumentou para 90 Gbit/s, no dia 21 houve uma calmaria, mas no dia 22 de março a velocidade já era de 120 Gbit/s. Não foi possível desabilitar o CloudFlare, então a velocidade foi aumentada para 300 Gbit/s. Até o momento, este é um número recorde.

O que são programas de ataque DDoS?

Em termos de software utilizado atualmente, considera-se que a aplicação mais utilizada é o programa LOIC, que, no entanto, só permite ataques a servidores com endereços IP e URL já conhecidos. O mais triste é que ele é postado na Internet para download gratuito.

Mas, como já está claro, esta aplicação só pode ser usado em conjunto com software que permite obter acesso ao computador de outra pessoa. Por razões óbvias, os nomes e instruções completas sobre seu uso não são fornecidos aqui.

Como fazer um ataque sozinho?

Então, precisamos de um ataque DDoS. Vejamos brevemente como fazer você mesmo. Presume-se que o sniffer funcionou e você tem acesso ao terminal de outra pessoa. Ao executar o arquivo executável do programa Loic.exe, basta inserir os endereços necessários na janela e pressionar o botão Bloquear.

Depois disso, ao ajustar a velocidade de transmissão através dos protocolos HTTP/UDF/TCP, o fader é definido para o valor máximo (10 no mínimo padrão), após o qual o botão IMMA CHARGIN MAH LAZER é usado para iniciar o ataque.

Como se proteger de ataques?

Ao falar sobre quais programas você pode encontrar para ataques DDoS, você não pode ignorar as ferramentas de proteção. Afinal, até a terceira lei de Newton afirma que qualquer ação provoca uma reação.

No caso mais simples, são utilizados antivírus e firewalls (os chamados firewalls), que podem ser apresentados na forma de software ou como hardware de computador. Além disso, muitos provedores de segurança podem redistribuir solicitações entre vários servidores, filtrar o tráfego de entrada, instalar sistemas de proteção duplicados, etc.

Um dos métodos de realização de ataques é a técnica de amplificação de DNS - tecnologia de envio de solicitações recursivas a servidores DNS com endereços de retorno inexistentes. Assim, como proteção contra tais infortúnios, você pode usar com segurança o pacote universal fail2ban, que hoje permite instalar uma barreira bastante poderosa para correspondências desse tipo.

O que mais você precisa saber?

Em geral, até uma criança pode obter acesso ao seu computador, se desejar. Além disso, mesmo alguns sistemas especializados particularmente complexos programas não será necessário e, posteriormente, um ataque DDoS poderá ser realizado a partir do seu computador “zumbi”. Como fazer você mesmo, em termos gerais, já está claro.

Mas não acho que valha a pena fazer essas coisas. É verdade que alguns usuários e programadores novatos tentam realizar tais ações, por assim dizer, por interesse puramente esportivo. Lembre-se: qualquer administrador experiente descobrirá, se não você, a localização do provedor, mesmo que em algum momento um servidor proxy anônimo tenha sido usado na Internet. Você não precisa ir longe. O mesmo recurso WhoIs pode fornecer muitas informações que você nem conhece. Bom, então, como dizem, é uma questão de técnica.

Basta contactar o seu fornecedor com o pedido adequado indicando o IP externo, e ele (de acordo com as normas internacionais) fornecerá dados sobre a sua localização e dados pessoais. Portanto, o material apresentado acima não deve ser considerado um incentivo a ações ilegais. Isso está repleto de consequências bastante graves.

Mas quanto aos ataques em si, vale dizer separadamente que você mesmo deve tomar algumas medidas para proteger o sistema, porque códigos maliciosos pode até estar contido em banners da Internet; quando clicado, um Trojan pode ser baixado para o seu computador. E nem todos os antivírus são capazes de filtrar tais ameaças. E o fato de um computador poder se transformar em uma espécie de caixa zumbi não é discutido. O usuário pode nem perceber isso (a menos que o tráfego de saída aumente). Instalar e configurar o pacote fail2ban é bastante complexo, então você deve usar um antivírus sério (Eset, Kaspersky) como o meio mais primitivo, e não produtos de software livre, e também não desabilitar suas próprias ferramentas Proteção do Windows como um firewall.

Cada vez mais, aqui e ali, nas comunicações oficiais dos provedores de hospedagem, há referências a ataques DDoS refletidos. Cada vez mais, quando os usuários descobrem que seu site não está disponível, eles assumem imediatamente o DDoS. Na verdade, no início de março, o Runet sofreu toda uma onda de tais ataques. Ao mesmo tempo, os especialistas garantem que a diversão está apenas começando. É simplesmente impossível ignorar um fenómeno tão relevante, ameaçador e intrigante. Então hoje vamos falar sobre mitos e fatos sobre DDoS. Do ponto de vista do provedor de hospedagem, é claro.

Dia memorável

No dia 20 de novembro de 2013, pela primeira vez nos 8 anos de história da nossa empresa, toda a plataforma técnica ficou indisponível durante várias horas devido a um ataque DDoS sem precedentes. Dezenas de milhares de nossos clientes em toda a Rússia e na CEI sofreram, sem mencionar nós mesmos e nosso provedor de Internet. A última coisa que o provedor conseguiu registrar antes que a luz branca se apagasse para todos foi que seus canais de entrada estavam fortemente obstruídos com o tráfego de entrada. Para visualizar isso, imagine sua banheira com ralo normal, com as Cataratas do Niágara entrando nela.

Mesmo os fornecedores mais acima na cadeia sentiram os efeitos deste tsunami. Os gráficos abaixo ilustram claramente o que estava acontecendo naquele dia com o tráfego da Internet em São Petersburgo e na Rússia. Observe os picos acentuados às 15 e 18 horas, exatamente nos momentos em que registramos os ataques. Para estes repentinos mais 500-700 GB.

Demorou várias horas para localizar o ataque. O servidor no qual foi enviado foi calculado. Então o alvo dos terroristas da Internet foi calculado. Você sabe quem estava atingindo toda essa artilharia inimiga? Um site de cliente muito comum e modesto.

Mito número um: “O alvo do ataque é sempre o provedor de hospedagem. Estas são as maquinações de seus concorrentes. Não é meu." Na verdade, o alvo mais provável dos terroristas da Internet é um site cliente comum. Ou seja, o site de um dos seus vizinhos de hospedagem. Ou talvez o seu também.

Nem tudo é DDoS...

Após os acontecimentos em nosso site técnico em 20 de novembro de 2013 e sua repetição parcial em 9 de janeiro de 2014, alguns usuários começaram a assumir DDoS em qualquer falha específica de seu próprio site: “Isso é DDoS!” e “Você está enfrentando DDoS novamente?”

É importante lembrar que se sofrermos um DDoS que até mesmo nossos clientes sintam, nós mesmos denunciaremos imediatamente.

Gostaríamos de tranquilizar quem tem pressa em entrar em pânico: se houver algo errado com o seu site, a probabilidade de ser DDoS é inferior a 1%. Simplesmente pelo fato de que muitas coisas podem acontecer a um site, e essas “muitas coisas” acontecem com muito mais frequência. Falaremos sobre métodos para um autodiagnóstico rápido do que exatamente está acontecendo com seu site em uma das postagens a seguir.

Enquanto isso, por uma questão de precisão no uso das palavras, vamos esclarecer os termos.

Sobre os termos

Ataque DoS (do inglês Denial of Service) - Este é um ataque projetado para fazer com que o serviço de um servidor seja negado devido à sua sobrecarga.

Os ataques DoS não estão associados a danos a equipamentos ou roubo de informações; seu objetivo - fazer o servidor parar de responder às solicitações. A diferença fundamental entre DoS é que o ataque ocorre de uma máquina para outra. Existem exatamente dois participantes.

Mas, na realidade, praticamente não vemos ataques DoS. Por que? Porque os alvos dos ataques são na maioria das vezes instalações industriais (por exemplo, poderosos servidores produtivos de empresas de hospedagem). E para causar qualquer dano perceptível à operação de tal máquina, é necessária uma potência muito maior do que a sua própria. Esta é a primeira coisa. E em segundo lugar, o iniciador de um ataque DoS é bastante fácil de identificar.

DDoS - essencialmente o mesmo que DoS, apenas o ataque é natureza distribuída. Não cinco, nem dez, nem vinte, mas centenas e milhares de computadores acessam um servidor simultaneamente de locais diferentes. Este exército de máquinas é chamado rede de bots. É quase impossível identificar o cliente e o organizador.

Cúmplices

Que tipo de computadores estão incluídos na botnet?

Você ficará surpreso, mas essas são geralmente as máquinas domésticas mais comuns. Quem sabe?.. - muito possivelmente o seu computador doméstico levado para o lado do mal.

Você não precisa de muito para isso. Um invasor encontra uma vulnerabilidade em um popular sistema operacional ou aplicativo e com sua ajuda infecta seu computador com um Trojan, que em um determinado dia e hora instrui seu computador a começar a executar determinadas ações. Por exemplo, envie solicitações para um IP específico. Sem o seu conhecimento ou participação, é claro.

Mito número dois: « O DDoS é feito em algum lugar longe de mim, em um bunker subterrâneo especial onde ficam hackers barbudos e de olhos vermelhos.” Na verdade, sem saber, você, seus amigos e vizinhos - qualquer um pode ser um cúmplice involuntário.

Isso está realmente acontecendo. Mesmo que você não pense sobre isso. Mesmo se você estiver muito longe da TI (especialmente se estiver longe da TI!).

Mecânica divertida de hacking ou DDoS

O fenômeno DDoS não é uniforme. Este conceito combina muitas opções de ações que levam a um resultado (negação de serviço). Vejamos os problemas que os DDoSers podem nos trazer.

Uso excessivo de recursos de computação do servidor

Isso é feito enviando pacotes para um IP específico, cujo processamento requer uma grande quantidade de recursos. Por exemplo, carregar uma página requer a execução de um grande número de consultas SQL. Todos os invasores solicitarão essa página exata, o que causará sobrecarga no servidor e negação de serviço para visitantes normais e legítimos do site.
Este é um ataque ao nível de um estudante que passou algumas noites lendo a revista Hacker. Ela não é um problema. O mesmo URL solicitado é calculado instantaneamente, após o qual o acesso a ele é bloqueado no nível do servidor web. E esta é apenas uma solução.

Sobrecarga de canais de comunicação com o servidor (saída)

O nível de dificuldade deste ataque é quase o mesmo do anterior. O invasor determina a página mais pesada do site e o botnet sob seu controle começa a solicitá-la em massa.

Imagine que a parte do Ursinho Pooh que é invisível para nós seja infinitamente grande
Nesse caso, também é muito fácil entender o que exatamente está bloqueando o canal de saída e impedindo o acesso a esta página. Consultas semelhantes podem ser facilmente vistas usando utilitários especiais, que permitem observar a interface de rede e analisar o tráfego. Em seguida, é escrita uma regra para o Firewall que bloqueia tais solicitações. Tudo isso é feito regularmente, automaticamente e tão rápido que A maioria dos usuários nem sequer tem conhecimento de qualquer ataque.

Mito número três: "UM No entanto, eles raramente chegam à minha hospedagem e eu sempre os noto.” Na verdade, 99,9% dos ataques você não vê nem sente. Mas a luta diária com eles - Este é o trabalho diário e rotineiro de uma empresa de hospedagem. Esta é a nossa realidade, em que o ataque é barato, a competição é fora de cogitação e nem todos demonstram discernimento nos métodos de luta por um lugar ao sol.

Sobrecarga de canais de comunicação com o servidor (entrada)

Essa já é uma tarefa para quem lê a revista Hacker há mais de um dia.

Foto do site da rádio Ekho Moskvy. Não encontramos nada mais visual para representar DDoS com sobrecarga de canais de entrada.
Para preencher a capacidade máxima de um canal com tráfego de entrada, você precisa ter uma botnet, cujo poder permite gerar a quantidade necessária de tráfego. Mas talvez haja uma maneira de enviar pouco tráfego e receber muito?

Existe, e não apenas um. Existem muitas opções de aprimoramento de ataque, mas uma das mais populares no momento é ataque através de servidores DNS públicos. Os especialistas chamam esse método de amplificação Amplificação de DNS(caso alguém prefira termos especializados). Simplificando, imagine uma avalanche: basta um pequeno esforço para quebrá-la, mas recursos desumanos são suficientes para detê-la.

Você e eu sabemos disso servidor DNS público mediante solicitação, fornece a qualquer pessoa informações sobre qualquer nome de domínio. Por exemplo, perguntamos a esse servidor: conte-me sobre o domínio sprinthost.ru. E sem hesitar, ele nos conta tudo o que sabe.

Consultar o servidor DNS é muito operação simples. Não custa quase nada contatá-lo; o pedido será microscópico. Por exemplo, assim:

Resta apenas escolher nome de domínio, informações sobre as quais formarão um pacote de dados impressionante. Assim, os 35 bytes originais com um movimento do pulso se transformam em quase 3.700. Há um aumento de mais de 10 vezes.

Mas como garantir que a resposta seja enviada para o IP correto? Como falsificar o IP de origem de uma solicitação para que o servidor DNS emita suas respostas na direção de uma vítima que não solicitou nenhum dado?

O fato é que os servidores DNS funcionam de acordo com Protocolo de comunicação UDP, que não requer nenhuma confirmação da origem da solicitação. Forjar um IP de saída neste caso não é muito difícil para o dosador. É por isso que esse tipo de ataque é tão popular agora.

O mais importante é que uma botnet muito pequena seja suficiente para realizar tal ataque. E alguns DNS públicos dispersos que não verão nada de estranho no fato de usuários diferentes de tempos em tempos eles solicitam dados para o endereço de um host. E só então todo esse tráfego se fundirá em um fluxo e fechará firmemente um “tubo”.

O que o dosador não pode saber é a capacidade dos canais do atacante. E se ele não calcular corretamente o poder de seu ataque e não obstruir imediatamente o canal do servidor para 100%, o ataque poderá ser repelido com bastante rapidez e facilidade. Usando utilitários como Despejo TCPé fácil descobrir o que tráfego de entrada chega do DNS e, no nível do Firewall, impede que seja aceito. Esta opção - recusar-se a aceitar tráfego do DNS - está associada a um certo inconveniente para todos, no entanto, tanto os servidores como os sites neles contidos continuarão a funcionar com sucesso.

Esta é apenas uma opção entre muitas possíveis para aprimorar um ataque. Existem muitos outros tipos de ataques, podemos falar deles em outra ocasião. Por enquanto, gostaria de resumir que tudo o que foi dito acima é verdadeiro para um ataque cujo poder não excede a largura do canal para o servidor.

Se o ataque for poderoso

Se o poder de ataque exceder a capacidade do canal para o servidor, acontece o seguinte. O canal da Internet para o servidor é imediatamente obstruído, depois para o site de hospedagem, para seu provedor de Internet, para o provedor de nível superior e assim por diante, e assim por diante (no longo prazo - até os limites mais absurdos), como na medida em que o poder de ataque é suficiente.

E então se torna um problema global para todos. E em poucas palavras, foi com isso que tivemos que lidar em 20 de novembro de 2013. E quando ocorrem convulsões em grande escala, é hora de ativar uma magia especial!

É assim que se parece a magia especial. Usando esta magia, é possível descobrir o servidor para o qual o tráfego é direcionado e bloquear seu IP no nível do provedor de Internet. Para que deixe de receber quaisquer solicitações a este IP através dos seus canais de comunicação com o exterior (uplinks). Para os amantes do termo: os especialistas chamam esse procedimento "buraco negro", do buraco negro inglês.

Neste caso, o servidor atacado com 500-1500 contas permanece sem o seu IP. Uma nova sub-rede de endereços IP é alocada para ele, para a qual aleatoriamente as contas dos clientes são distribuídas uniformemente. Em seguida, os especialistas aguardam que o ataque se repita. Quase sempre se repete.

E quando isso se repete, o IP atacado não tem mais de 500 a 1.000 contas, mas apenas uma dúzia ou duas.

O círculo de suspeitos está diminuindo. Essas 10 a 20 contas são novamente distribuídas para diferentes endereços IP. E novamente os engenheiros estão em emboscada esperando que o ataque se repita. Repetidamente eles distribuem as contas que permanecem sob suspeita para diferentes IPs e assim, aproximando-se gradativamente, determinam o alvo do ataque. Todas as outras contas neste momento revertem para operação normal no mesmo IP.

Como é evidente, este não é um procedimento instantâneo que leva tempo a implementar.

Mito número quatro:“Quando ocorre um ataque em grande escala, meu anfitrião não tem um plano de ação. Ele apenas espera, de olhos fechados, que o bombardeio acabe e responde às minhas cartas com o mesmo tipo de resposta.”Isto não é verdade: em caso de ataque, o fornecedor de alojamento atua de acordo com um plano para localizá-lo e eliminar as consequências o mais rapidamente possível. E cartas do mesmo tipo permitem transmitir a essência do que está acontecendo e ao mesmo tempo economizar os recursos necessários para lidar com uma situação de emergência o mais rápido possível.

Existe luz no fim do túnel?

Agora vemos que a atividade DDoS está aumentando constantemente. Ordenar um ataque tornou-se muito acessível e escandalosamente barato. Para evitar acusações de propaganda, não haverá links de prova. Mas acredite em nossa palavra, é verdade.

Mito número cinco: “Um ataque DDoS é uma tarefa muito cara e apenas os magnatas dos negócios podem se dar ao luxo de encomendá-lo. No mínimo, estas são as maquinações dos serviços secretos!” Na verdade, tais eventos tornaram-se extremamente acessíveis.

Portanto, não se pode esperar que a atividade maliciosa desapareça por si só. Em vez disso, apenas se intensificará. Resta forjar e afiar a arma. É isso que fazemos, melhorando a infraestrutura de rede.

Lado jurídico da questão

Este é um aspecto muito impopular na discussão dos ataques DDoS, uma vez que raramente ouvimos falar de casos em que os perpetradores foram capturados e punidos. No entanto, você deve se lembrar: Um ataque DDoS é um crime. Na maioria dos países do mundo, incluindo a Federação Russa.

Mito número seis: « Agora que sei o suficiente sobre DDoS, vou pedir uma festa para um concorrente - e nada vai acontecer comigo por causa disso!” É possível que isso aconteça. E se isso acontecer, não parecerá muito.

• O início da história do DDoS sistema de pagamento Ajuda
• Final emocionante

Em geral, não aconselhamos ninguém a se envolver na prática viciosa de DDoS, para não incorrer na ira da justiça e não arruinar o seu carma. E nós, pelas especificidades da nossa atividade e pelo grande interesse de investigação, continuamos a estudar o problema, a vigiar e a melhorar as estruturas defensivas.

PS:não temos palavras gentis suficientes para expressar nossa gratidão, então apenas dizemos"Obrigado!" aos nossos clientes pacientes que nos apoiaram calorosamente em um dia difícil em 20 de novembro de 2013. Você disse muitas palavras encorajadoras em nosso apoio em