Ce se folosește pentru atacurile ddos. Atacul Ddos - ghid detaliat

Un atac DoS și DDoS este un impact extern agresiv asupra resurselor de calcul ale unui server sau stație de lucru, realizat cu scopul de a-l duce la eșec. Prin eșec înțelegem nu defecțiunea fizică a unei mașini, ci inaccesibilitatea resurselor acesteia pentru utilizatorii de bună-credință - refuzul sistemului de a le deservi ( D enial o f S ervice, din care provine abrevierea DoS).

Dacă un astfel de atac este efectuat de pe un singur computer, acesta este clasificat ca DoS (DoS), dacă din mai multe - DDoS (DiDoS sau DDoS), ceea ce înseamnă „D repartizat D enial o f S ervice" - refuzul de serviciu distribuit. În continuare, vom vorbi despre motivul pentru care atacatorii efectuează astfel de atacuri, ce sunt, ce prejudicii provoacă atacatorilor și cum aceștia din urmă își pot proteja resursele.

Cine poate suferi de atacuri DoS și DDoS?

Serverele corporative ale întreprinderilor și site-urile web sunt atacate, mult mai rar - computerele personale indivizii. Scopul unor astfel de acțiuni, de regulă, este unul - acela de a provoca un prejudiciu economic persoanei atacate și de a rămâne în umbră. În unele cazuri, atacurile DoS și DDoS reprezintă una dintre etapele hackingului de server și au ca scop furtul sau distrugerea informațiilor. De fapt, o companie sau un site web aparținând oricui poate deveni o victimă a atacatorilor.

O diagramă care ilustrează esența unui atac DDoS:

Atacurile DoS și DDoS sunt cel mai adesea efectuate la instigarea concurenților necinstiți. Așadar, prin „crashing” site-ul unui magazin online care oferă un produs similar, poți deveni temporar un „monopol” și să-i iei clienții pentru tine. Prin „înlăturarea” unui server corporativ, puteți perturba activitatea unei companii concurente și, prin urmare, îi puteți reduce poziția pe piață.

Atacurile la scară largă care pot provoca daune semnificative sunt de obicei efectuate de infractorii cibernetici profesioniști pentru o mulțime de bani. Dar nu întotdeauna. Resursele tale pot fi atacate de hackeri amatori de acasă din interes, răzbunătorii dintre angajații concediați și pur și simplu cei care nu împărtășesc părerile tale despre viață.

Uneori, impactul este efectuat în scopul extorcării, în timp ce atacatorul cere în mod deschis bani de la proprietarul resursei pentru a opri atacul.

Serverele companiilor de stat și ale organizațiilor binecunoscute sunt adesea atacate de grupuri anonime de hackeri de înaltă calificare pentru a influența oficialii sau a provoca proteste publice.

Cum se desfășoară atacurile

Principiul de funcționare al atacurilor DoS și DDoS este trimiterea unui flux mare de informații către server, care la maximum (în măsura posibilităților hackerului) încarcă resursele de calcul ale procesorului, RAM, înfunda canalele de comunicare sau umple spațiul pe disc. . Mașina atacată nu poate procesa datele primite și nu mai răspunde la solicitările utilizatorilor.

Așa arată funcţionare normală server, vizualizat în programul Logstalgia:

Eficacitatea atacurilor unice DOS nu este foarte mare. În plus, un atac de la un computer personal expune atacatorul riscului de a fi identificat și prins. Atacurile distribuite (DDoS) efectuate din așa-numitele rețele zombie sau botnet oferă un profit mult mai mare.

Iată cum afișează site-ul Norse-corp.com activitatea rețelei bot:

O rețea zombie (botnet) este un grup de computere care nu au nicio conexiune fizică între ele. Ceea ce au în comun este că toți sunt sub controlul unui atacator. Controlul se realizează printr-un program troian, care deocamdată poate să nu se manifeste în niciun fel. Atunci când efectuează un atac, hackerul instruiește computerele infectate să trimită cereri către site-ul sau serverul victimei. Iar el, incapabil să reziste presiunii, nu mai răspunde.

Iată cum Logstalgia arată un atac DDoS:

Absolut orice computer se poate alătura unei rețele bot. Și chiar și un smartphone. Este suficient să prinzi un troian și să nu fii detectat la timp. Apropo, cel mai mare botnet era format din aproape 2 milioane de mașini din întreaga lume, iar proprietarii lor habar nu aveau ce fac.

Metode de atac și apărare

Înainte de a lansa un atac, hackerul își dă seama cum să-l efectueze cu efect maxim. Dacă nodul atacat are mai multe vulnerabilități, impactul poate fi efectuat în direcții diferite, ceea ce va complica semnificativ contracararea. Prin urmare, este important ca fiecare administrator de server să-și studieze toate „blocurile” și, dacă este posibil, să le întărească.

Potop

Flood, în termeni simpli, este o informație care nu are niciun sens. În contextul atacurilor DoS/DDoS, o inundație este o avalanșă de solicitări goale, fără sens, de un nivel sau altul, pe care nodul receptor este forțat să le proceseze.

Scopul principal al utilizării inundațiilor este de a înfunda complet canalele de comunicație și de a satura lățimea de bandă la maximum.

Tipuri de inundații:

• MAC flood - impact asupra comunicatorilor de rețea (blocarea porturi cu fluxuri de date).
• Inundare ICMP - inundarea unei victime cu solicitări de ecou de serviciu folosind o rețea zombie sau trimiterea de solicitări „în numele” nodului atacat, astfel încât toți membrii rețelei botnet să îi trimită simultan un răspuns ecou (atac Smurf). Un caz special de ICMP flood este ping flood (trimiterea cererilor ping către server).
• SYN flood - trimiterea numeroaselor solicitări SYN către victimă, depășind coada de conexiune TCP prin crearea cantitate mare conexiuni pe jumătate deschise (în așteptarea confirmării clientului).
• UDP flood - funcționează conform schemei de atac Smurf, unde datagramele UDP sunt trimise în locul pachetelor ICMP.
• HTTP flood - inundarea serverului cu numeroase mesaje HTTP. O opțiune mai sofisticată este inundarea HTTPS, în care datele trimise sunt pre-criptate și înainte ca nodul atacat să le proceseze, trebuie să le decripteze.

Cum să te protejezi de inundații

• Configurați comutatoarele de rețea pentru a verifica validitatea și pentru a filtra adresele MAC.
• Restricționați sau dezactivați procesarea solicitărilor de eco ICMP.
• Blocați pachetele care provin de la o anumită adresă sau domeniu care dă motive să se suspecteze că este nefiabil.
• Stabiliți o limită a numărului de conexiuni pe jumătate deschise cu o singură adresă, reduceți timpul de păstrare a acestora și prelungiți coada de conexiuni TCP.
• Dezactivați serviciile UDP de la primirea traficului din exterior sau limitați numărul de conexiuni UDP.
• Utilizați CAPTCHA, întârzieri și alte tehnici de protecție împotriva botului.
• Creșteți numărul maxim de conexiuni HTTP, configurați memorarea în cache a cererilor folosind nginx.
• Extindeți capacitatea canalului de rețea.
• Dacă este posibil, dedicați un server separat pentru a gestiona criptografia (dacă este utilizată).
• Creați un canal de rezervă pentru accesul administrativ la server în situații de urgență.

Supraîncărcare hardware

Există tipuri de inundații care afectează nu canalul de comunicație, ci resursele hardware ale computerului atacat, încărcându-le la capacitatea maximă și provocând înghețarea sau blocarea. De exemplu:

• Crearea unui script care va posta pe un forum sau site web unde utilizatorii au posibilitatea de a lăsa comentarii, o cantitate imensă de fără sens informații text până când tot spațiul pe disc este plin.
• Același lucru, doar jurnalele serverului vor umple unitatea.
• Încărcarea unui site unde se efectuează un fel de transformare a datelor introduse, procesarea continuă a acestor date (trimiterea așa-numitelor pachete „grele”).
• Încărcarea procesorului sau a memoriei prin executarea codului prin interfața CGI (suportul CGI vă permite să rulați orice program extern pe server).
• Declanșarea sistemului de securitate, facerea serverului inaccesibil din exterior etc.

Cum să vă protejați de supraîncărcarea resurselor hardware

• Creșteți productivitatea și volumul echipamentelor spațiu pe disc. Când serverul funcționează normal, cel puțin 25-30% din resurse ar trebui să rămână libere.
• Utilizați sisteme de analiză și filtrare a traficului înainte de a-l transmite către server.
• Limitați utilizarea resurselor hardware de către componentele sistemului (setați cote).
• Stocați fișierele jurnal ale serverului pe o unitate separată.
• Distribuiți resurse pe mai multe servere independente unul de celălalt. Astfel încât, dacă o parte eșuează, celelalte rămân operaționale.

Vulnerabilități în sistemele de operare, software, firmware-ul dispozitivului

Există nemăsurat mai multe opțiuni pentru a efectua acest tip de atac decât folosirea inundațiilor. Implementarea lor depinde de calificările și experiența atacatorului, de capacitatea sa de a găsi erori codul programuluiși folosiți-le în beneficiul dvs. și în detrimentul proprietarului resursei.

Odată ce un hacker descoperă o vulnerabilitate (o eroare în software care poate fi folosită pentru a perturba funcționarea sistemului), tot ce trebuie să facă este să creeze și să ruleze un exploit - un program care exploatează această vulnerabilitate.

Exploatarea vulnerabilităților nu este întotdeauna menită să provoace doar o denegare a serviciului. Dacă hackerul are noroc, el va putea obține controlul asupra resursei și va putea folosi acest „dar al sorții” la propria discreție. De exemplu, utilizați pentru distribuție malware, fura și distruge informații etc.

Metode de contracarare a exploatării vulnerabilităților software

• Instalați actualizări în timp util care acoperă vulnerabilitățile sistemelor de operare și ale aplicațiilor.
• Izolați toate serviciile destinate rezolvării sarcinilor administrative de accesul terților.
• Utilizați mijloace de monitorizare continuă a funcționării sistemului de operare și a programelor serverului (analiza comportamentală etc.).
• Refuzați programele potențial vulnerabile (gratuite, auto-scrise, rar actualizate) în favoarea celor dovedite și bine protejate.
• Folosiți mijloace gata făcute de protejare a sistemelor împotriva atacurilor DoS și DDoS, care există atât sub formă de sisteme hardware cât și software.

Cum să determinați că o resursă a fost atacată de un hacker

Dacă atacatorul reușește să atingă scopul, este imposibil să nu sesizeze atacul, dar în unele cazuri administratorul nu poate determina exact când a început. Adică, uneori trec câteva ore de la debutul atacului până la simptome vizibile. Cu toate acestea, în timpul influenței ascunse (până când serverul scade), sunt prezente și anumite semne. De exemplu:

• Comportament nenatural al aplicațiilor server sau al sistemului de operare (înghețare, terminare cu erori etc.).
• sarcina procesorului, RAM iar acumularea crește brusc față de nivelul inițial.
• Volumul traficului pe unul sau mai multe porturi crește semnificativ.
• Există mai multe solicitări de la clienți către aceleași resurse (deschiderea aceleiași pagini de site web, descărcarea aceluiași fișier).
• Analiza jurnalelor de server, firewall și dispozitive de rețea afișează un număr mare de solicitări monotone de la diferite adrese, adesea direcționate către un anumit port sau serviciu. Mai ales dacă site-ul este adresat unui public restrâns (de exemplu, vorbitor de limbă rusă), iar solicitările vin din toată lumea. O analiză calitativă a traficului arată că cererile nu au sens practic pentru clienți.

Toate cele de mai sus nu sunt un semn 100% al unui atac, dar este întotdeauna un motiv pentru a acorda atenție problemei și a lua măsurile de protecție adecvate.

Aparent, majoritatea utilizatorilor moderni de sisteme informatice au auzit de conceptul unui atac DDoS. Cum să o faci singur, desigur, nu va fi luat în considerare acum (cu excepția scopului informativ), deoarece astfel de acțiuni sunt ilegale în conformitate cu orice legislație. Cu toate acestea, va fi posibil să aflați ce este în general și cum funcționează totul. Dar să remarcăm imediat: nu ar trebui să percepeți materialul prezentat mai jos ca un fel de instrucțiune sau ghid de acțiune. Informațiile sunt furnizate numai în scopul înțelegerii generale a problemei și numai pentru cunoștințe teoretice. Utilizarea anumitor produse software sau organizarea de acțiuni ilegale poate atrage răspunderea penală.

Ce este un atac DDoS pe un server?

Însuși conceptul de atac DDoS poate fi interpretat pe baza decodării abrevierei engleze. Abrevierea înseamnă Distributed Denial of Service, adică, aproximativ vorbind, refuzul serviciului sau performanța.

Dacă înțelegeți ce este un atac DDoS asupra unui server, în general este o încărcare a unei resurse printr-un număr crescut de solicitări (cereri) utilizatorilor pe un anumit canal de comunicare, care, în mod natural, are restricții asupra volumului de trafic atunci când serverul pur și simplu nu este capabil să proceseze. Din această cauză, apare supraîncărcarea. De fapt, software-ul și hardware-ul serverului pur și simplu nu au suficiente resurse de calcul pentru a face față tuturor solicitărilor.

Principii de organizare a atacurilor

Un atac DDoS se bazează fundamental pe mai multe conditii de baza. Cel mai important lucru este, în prima etapă, să obțineți acces la un computer de utilizator sau chiar la un server prin introducerea de cod rău intenționat în el sub forma unor programe care astăzi sunt denumite în mod obișnuit troieni.

Cum să organizați singur un atac DDoS în această etapă? Complet simplu. Așa-numitele sniffers pot fi folosite pentru a infecta computerele. Este suficient să îi trimiteți victimei o scrisoare către Adresa de e-mail cu un atașament (de exemplu, o imagine care conține cod executabil), atunci când este deschis, atacatorul obține acces la computerul altcuiva prin adresa sa IP.

Acum câteva cuvinte despre ce implică a doua etapă, care implică un atac DDoS. Cum să faci următoarea cerere? Este necesar ca numărul maxim de cereri să fie trimis către server sau resursă de Internet. Desigur, acest lucru nu se poate face de la un singur terminal, așa că va trebui să utilizați calculatoare suplimentare. Concluzia sugerează de la sine: este necesar ca virusul introdus să-i infecteze. De regulă, astfel de scripturi, ale căror versiuni gata făcute pot fi găsite chiar și pe Internet, se auto-copilează și infectează alte terminale din mediul de rețea, dacă sunt disponibile. conexiune activă sau prin Internet.

Tipuri de atacuri DDoS

Un atac DDoS în sens general este numit așa doar condiționat. De fapt, există cel puțin patru soiuri ale acestuia (deși astăzi există până la 12 modificări):

• crash server prin trimiterea de instrucțiuni incorecte pentru a fi executate;
• trimiterea în masă a datelor utilizatorului, ducând la verificarea ciclică;
• inundație - cereri formate incorect;
• perturbarea canalului de comunicare prin debordare cu adrese false.

Istoria apariției

Ei au început să vorbească despre atacuri de acest gen încă din 1996, dar apoi nimeni nu i-a acordat prea multă importanță. Problema a început să fie serios condamnată abia în 1999, când au fost atacate cele mai mari servere din lume precum Amazon, Yahoo, E-Trade, eBay, CNN etc.

Consecințele s-au soldat cu pierderi semnificative din cauza întreruperii acestor servicii, deși la acel moment acestea erau doar cazuri parțiale. Nu s-a vorbit încă despre o amenințare larg răspândită.

Cel mai faimos caz de atac DDoS

Cu toate acestea, după cum sa dovedit mai târziu, problema nu s-a limitat la asta. Cel mai mare atac DDoS din întreaga istorie a lumii computerelor a fost înregistrat în 2013, când a apărut o dispută între Spamhaus și furnizorul olandez Cyberbunker.

Prima organizație, fără explicații, a inclus furnizorul în lista spammerilor, în ciuda faptului că multe organizații și servicii respectate (și nu atât de respectate) și-au folosit serverele. În plus, serverele furnizorului, oricât de ciudat ar părea, se aflau într-un fost buncăr NATO.

Ca răspuns la astfel de acțiuni, Cyberbunker a lansat un atac, care a fost preluat de CDN CloudFlare. Prima lovitură a venit pe 18 martie, a doua zi viteza cererilor a crescut la 90 Gbit/s, pe 21 a fost o pauză, dar pe 22 martie viteza era deja de 120 Gbit/s. Nu a fost posibil să se dezactiveze CloudFlare, așa că viteza a fost mărită la 300 Gbit/s. Până în prezent, aceasta este o cifră record.

Ce sunt programele de atac DDoS?

În ceea ce privește software-ul utilizat în prezent, cea mai frecvent utilizată aplicație este considerată a fi programul LOIC, care, totuși, permite doar atacuri asupra serverelor cu adrese IP și URL deja cunoscute. Cel mai trist lucru este că este postat pe Internet pentru descărcare gratuită.

Dar, după cum este deja clar, această aplicație poate fi folosit numai împreună cu software, permițându-vă să obțineți acces la computerul altcuiva. Din motive evidente, numele și instrucțiuni complete despre utilizarea lor nu sunt date aici.

Cum să faci singur un atac?

Deci, avem nevoie de un atac DDoS. Să vedem pe scurt cum să-l faci singur. Se presupune că sniffer-ul a funcționat și aveți acces la terminalul altcuiva. Când rulați fișierul executabil al programului Loic.exe, introduceți pur și simplu adresele necesare în fereastră și apăsați butonul Lock On.

După aceasta, în reglarea vitezei de transmisie prin protocoalele HTTP/UDF/TCP, faderul este setat la valoarea maximă (10 la minim implicit), după care butonul IMMA CHARGIN MAH LAZER este folosit pentru a începe atacul.

Cum să te protejezi de atacuri?

Când vorbiți despre ce programe puteți găsi pentru atacurile DDoS, nu puteți ignora instrumentele de protecție. La urma urmei, chiar și a treia lege a lui Newton spune că orice acțiune provoacă o reacție.

În chiar caz simplu Se folosesc antivirusuri și firewall-uri (așa-numitele firewall-uri), care pot fi prezentate fie sub formă de software, fie ca hardware de calculator. În plus, mulți furnizori de securitate pot redistribui cererile între mai multe servere, pot filtra traficul de intrare, pot instala sisteme de protecție duplicate etc.

Una dintre metodele de efectuare a atacurilor este tehnica DNS Amplification - tehnologia de trimitere a cererilor recursive către serverele DNS cu adrese de retur inexistente. În consecință, ca protecție împotriva unor astfel de nenorociri, puteți utiliza în siguranță pachetul universal fail2ban, care astăzi vă permite să instalați o barieră destul de puternică pentru e-mailurile de acest fel.

Ce altceva trebuie să știi?

În general, chiar și un copil poate obține acces la computer, dacă dorește. În acest caz, chiar și un software specializat deosebit de complex nu este necesar și, ulterior, un atac DDoS poate fi efectuat de pe computerul tău „zombie”. Cum să o faci singur este, în termeni generali, deja clar.

Dar nu cred că merită să faci astfel de lucruri. Adevărat, unii utilizatori și programatori începători încearcă să efectueze astfel de acțiuni, ca să spunem așa, din interes pur sportiv. Amintiți-vă: orice administrator informat își va da seama, dacă nu dvs., atunci locația furnizorului, chiar dacă la un moment dat a fost folosit un server proxy anonim pe Internet. Nu trebuie să mergi departe. Aceeași resursă WhoIs poate oferi o mulțime de informații despre care nici măcar nu știți. Ei bine, atunci, după cum se spune, este o chestiune de tehnică.

Tot ce trebuie să faceți este să contactați furnizorul dvs. cu solicitarea corespunzătoare indicând IP-ul extern, iar acesta (în conformitate cu standardele internaționale) vă va furniza date despre locația dvs. și datele personale. Prin urmare, materialul prezentat mai sus nu trebuie privit ca un stimulent la acțiuni ilegale. Acest lucru este plin de consecințe destul de grave.

Dar în ceea ce privește atacurile în sine, merită să spuneți separat că dvs. ar trebui să luați unele măsuri pentru a proteja sistemul, deoarece coduri rău intenționate poate fi inclus chiar și în bannere de pe Internet, când faceți clic pe, un troian poate fi descărcat pe computer. Și nu toate antivirusurile sunt capabile să filtreze astfel de amenințări. Iar faptul că un computer se poate transforma într-un fel de cutie de zombi nu se discută deloc. Este posibil ca utilizatorul să nu observe acest lucru (cu excepția cazului în care traficul de ieșire este crescut). Instalarea și configurarea pachetului fail2ban este destul de complicată, așa că ar trebui să utilizați un antivirus serios (Eset, Kaspersky) ca instrumente cele mai primitive, și nu cele gratuite. produse softwareși, de asemenea, nu vă deconectați propriile fonduri Protecție Windows ca un firewall.

Atacul DDoS (Distributed Denial of Service atac) este un set de acțiuni care pot dezactiva complet sau parțial o resursă de Internet. Victima poate fi aproape orice resursă de internet, cum ar fi un site web, un server de jocuri sau o resursă guvernamentală. Pe în acest moment Este aproape imposibil ca un hacker să organizeze singur un atac DDoS. În cele mai multe cazuri, atacatorul folosește o rețea de computere infectate cu un virus. Virusul vă permite să primiți necesarul și suficient acces la distanță la computerul infectat. O rețea de astfel de computere se numește botnet. De regulă, rețelele bot au un server de coordonare. După ce a decis să efectueze un atac, atacatorul trimite o comandă către serverul de coordonare, care, la rândul său, semnalează tuturor să înceapă să execute solicitări de rețea rău intenționate.

Motivele atacurilor DDoS

• Vrăjmășie personală

Acest motiv apare destul de des. În urmă cu ceva timp, jurnalistul-cercetător independent Brian Krebs a dezvăluit activitățile celui mai mare serviciu pentru efectuarea de atacuri DDoS personalizate - vDOS. Informația a fost prezentată în detaliu, ceea ce a dus la arestarea organizatorilor a acestui serviciu. Ca răspuns, hackerii au lansat un atac asupra blogului jurnalistului, a cărui putere a ajuns la 1 Tbit/s. Acest atac a fost cel mai puternic din lume în ultimii ani.

• Divertisment

În zilele noastre, devine din ce în ce mai ușor să organizați singur un atac DDoS primitiv. Un astfel de atac ar fi extrem de imperfect și anonim. Din păcate, cei mai mulți dintre cei care decid să se simtă ca un „hacker” habar nu au nici despre primul, nici despre al doilea. Cu toate acestea, mulți școlari practică adesea atacuri DDoS. Rezultatul unor astfel de cazuri poate fi foarte divers.

• Protestul politic (hacktivism)

Unul dintre primele atacuri motivate social a fost atacul DDoS, implementat în 1996 de hackerul Omega. Omega a fost membru al coaliției de hackeri „Cult of the Dead Crew” (cDc). Termenul de hacktivism a devenit popular în mass-media datorită frecvenței tot mai mari a atacurilor cibernetice motivate social. Reprezentanții tipici ai hacktiviștilor sunt grupurile Anonymous și LulzSec.

• Concurență neloială

Astfel de motive apar adesea în industrie. servere de jocuri, dar în industria comercială astfel de cazuri apar destul de des. Suficient mod eficient concurență neloială care poate distruge reputația platforma de tranzactionare, dacă proprietarii săi nu apelează la timp la specialiști pentru ajutor. Acest motiv poate fi distins printre celelalte ca fiind cel mai comun.

• Extorcare sau șantaj

În acest caz, atacatorul cere o sumă de bani de la potențiala victimă pentru că nu a comis atacul. Sau pentru încetarea lui. Organizațiile mari devin adesea victime ale unor astfel de atacuri, de exemplu, în 2014, banca Tinkoff și resursa IT Habrahabr, cel mai mare tracker de torrent Rutracker.org (cum a fost asta?) au fost atacate.

Consecințele atacurilor DDoS

Consecințele atacurilor DDoS pot fi foarte diverse, de la închiderea serverului de către centrul de date până la pierderea completă a reputației resursei și a fluxului de clienți. Multe organizații, pentru a economisi bani, aleg fără să știe furnizori de securitate fără scrupule, ceea ce de multe ori nu aduce niciun beneficiu. Pentru a evita astfel de probleme, vă recomandăm să contactați profesioniști din industria dvs.

Atacurile care au făcut istorie Internetul

Progresul tehnologic progresează treptat, iar atacatorii, la rândul lor, depun toate eforturile pentru a nu sta pe loc și a implementa atacuri din ce în ce mai complexe și mai puternice. Noi am adunat scurtă descriere cele mai interesante cazuri care au intrat în istoria atacurilor DDoS. Unele dintre ele pot părea obișnuite după standardele moderne, dar la momentul în care au avut loc, acestea erau atacuri la scară foarte mare.

Ping Of Dead. O metodă de atac bazată pe comanda ping. Acest atac a câștigat popularitate în anii 1990 din cauza echipamentelor de rețea imperfecte. Esența atacului este de a trimite o singură solicitare ping către un nod de rețea, iar corpul pachetului include nu cei 64 de octeți standard de date, ci 65535 de octeți. Când un astfel de pachet a fost primit, stiva de rețea a echipamentului ar depăși și provoca o refuz de serviciu.

Un atac care a afectat stabilitatea internetului.În 2013, Spamhaus a fost victima unui atac cu o capacitate de peste 280 Gbps. Cel mai interesant lucru este că pentru atac, hackerii au folosit servere DNS de pe Internet, care la rândul lor erau foarte încărcate cu un număr mare de solicitări. În acea zi, milioane de utilizatori s-au plâns de încărcarea lentă a paginilor din cauza supraîncărcării serviciului.

Înregistrați atacul cu trafic de peste 1 Tbit/s.În 2016, hackerii au încercat să ne atace cu un atac de pachete cu viteze de 360 ​​Mpps și 1 Tbps. Această cifră a devenit un record încă de la existența internetului. Dar chiar și sub un astfel de atac am supraviețuit și încărcarea rețelei a limitat doar puțin resursele gratuite ale echipamentelor de rețea.

Caracteristicile atacurilor de astăzi

Excluzând atacurile de vârf, putem spune că puterea atacurilor crește de peste 3-4 ori în fiecare an. Geografia atacatorilor se schimbă doar parțial de la an la an, deoarece acest lucru se datorează numărului maxim de computere dintr-o anumită țară. După cum se poate observa din raportul trimestrial pe 2016, întocmit de specialiștii noștri, țările record pentru numărul de boți sunt Rusia, SUA și China.

Care sunt tipurile de atacuri DDoS?

În prezent, tipurile de atacuri pot fi împărțite în 3 clase:

Atacurile de inundații ale canalelor

Acest tip de atac include și;

Atacurile care exploatează vulnerabilitățile din stiva de protocoale de rețea

Cele mai populare și interesante atacuri de acest tip sunt atacul /.

De ce ne alegeți pe noi? Echipamentul nostru este situat în centre de date cheie din întreaga lume și este capabil să respingă atacuri de până la 300 Gbps sau 360 de milioane de pachete pe secundă. Avem, de asemenea, o rețea de livrare de conținut () și un personal de ingineri de serviciu în cazul unui atac non-standard sau situații de urgență. Prin urmare, luând protecția noastră, puteți fi sigur de disponibilitatea resursei dvs. 24/7. Suntem de încredere de către: REG.RU, Argumente și fapte, WebMoney, holdingul de radio rusesc GPM și alte corporații.

Puteți implementa singur protecția împotriva unui număr mic de atacuri, analizând traficul sau stabilind reguli de rutare. Sunt prezentate metode de protecție împotriva unor atacuri.

Pentru în ultima vreme am putut verifica că atacurile DDoS sunt o armă destul de puternică în spațiul informațional. Utilizarea atacurilor DDoS cu putere mare Puteți nu numai să dezactivați unul sau mai multe site-uri, ci și să perturbați funcționarea unui întreg segment al rețelei sau să opriți internetul într-o țară mică. În aceste zile, atacurile DDoS au loc din ce în ce mai des și puterea lor crește de fiecare dată.

Dar care este esența unui astfel de atac? Ce se întâmplă în rețea când este efectuată, de unde a venit ideea de a face acest lucru și de ce este atât de eficient? Veți găsi răspunsuri la toate aceste întrebări în articolul nostru de astăzi.

DDoS sau denial-of-service distribuit este un atac asupra unui anumit computer dintr-o rețea care face ca acesta, prin supraîncărcare, să nu răspundă la solicitările altor utilizatori.

Pentru a înțelege ce înseamnă un atac ddos, să ne imaginăm o situație: un server web oferă pagini de site utilizatorilor, să presupunem că durează o jumătate de secundă pentru a crea o pagină și a o transfera complet pe computerul utilizatorului, apoi serverul nostru va putea să funcționeze normal la o frecvență de două solicitări pe secundă. Dacă există mai multe astfel de solicitări, acestea vor fi puse în coadă și procesate de îndată ce serverul web este liber. Toate cererile noi sunt adăugate la sfârșitul cozii. Acum să ne imaginăm că există o mulțime de solicitări, iar cele mai multe dintre ele sunt trimise doar pentru a supraîncărca acest server.

Dacă rata la care sosesc cererile noi depășește rata de procesare, atunci, în timp, coada de cereri va fi atât de lungă încât nicio solicitare nouă nu va fi procesată. Acesta este principiul principal al unui atac ddos. Anterior, astfel de solicitări erau trimise de la o singură adresă IP și asta se numea un atac de refuzare a serviciului - Dead-of-Service, de fapt, acesta este răspunsul la întrebarea ce este dos. Dar astfel de atacuri pot fi combatute eficient prin simpla adăugare a adresei IP sursă sau a mai multor la lista de blocare în plus, din cauza limitărilor de lățime de bandă a rețelei, mai multe dispozitive nu pot genera fizic un număr suficient de pachete pentru a supraîncărca un server serios;

Prin urmare, atacurile sunt acum efectuate de la milioane de dispozitive simultan. Cuvântul Distribed a fost adăugat la nume, s-a dovedit - DDoS. Singur, aceste dispozitive nu înseamnă nimic și pot să nu aibă o conexiune la Internet foarte rapidă, dar atunci când toate încep să trimită cereri către un server în același timp, pot atinge o viteză totală de până la 10 Tb/s. Și acesta este deja un indicator destul de serios.

Rămâne să ne dăm seama de unde atacatorii obțin atât de multe dispozitive pentru a-și efectua atacurile. Acestea sunt computere obișnuite sau diferite dispozitive IoT la care atacatorii au putut să aibă acces. Acesta poate fi orice, camere video și routere cu firmware care nu a fost actualizat de mult timp, dispozitive de control și computere obișnuite ale utilizatorilor care cumva au prins virusul și nu știu despre existența acestuia sau nu se grăbesc să-l elimine.

Tipuri de atacuri DDoS

Există două tipuri principale de atacuri DDoS, unele având ca scop supraîncărcarea un program anumeși atacuri care vizează supraîncărcarea canalului de rețea în sine către computerul țintă.

Atacurile la supraîncărcarea unui program se mai numesc și atacuri 7 (în modelul de rețea OSI există șapte niveluri, iar ultimul este nivelul aplicațiilor individuale). Un atacator atacă un program care utilizează multe resurse de server prin trimiterea unui număr mare de solicitări. În cele din urmă, programul nu are timp să proceseze toate conexiunile. Acesta este tipul despre care am discutat mai sus.

Atacurile DoS pe canalul de Internet necesită mult mai multe resurse, dar sunt mult mai greu de făcut față. Dacă facem o analogie cu osi, atunci acestea sunt atacuri la nivelul 3-4, și anume asupra canalului sau a protocolului de transfer de date. Faptul este că orice conexiune la Internet are propria limită de viteză la care datele pot fi transferate prin ea. Dacă există o mulțime de date, atunci echipamentul de rețea, la fel ca și programul, îl va pune în coadă pentru transmisie, iar dacă cantitatea de date și viteza cu care ajung depășesc cu mult viteza canalului, acesta va fi supraîncărcat. Rata de transfer de date în astfel de cazuri poate fi calculată în gigaocteți pe secundă. De exemplu, în cazul unei țări mici Liberia deconectate de la internet, viteza de transfer de date a fost de până la 5 TB/sec. Cu toate acestea, 20-40 Gb/s este suficient pentru a supraîncărca majoritatea infrastructurilor de rețea.

Originea atacurilor DDoS

Mai sus ne-am uitat la ce sunt atacurile DDoS, precum și metode DDoS atacuri, este timpul să trecem la originile lor. Te-ai întrebat vreodată de ce aceste atacuri sunt atât de eficiente? Ele se bazează pe strategii militare care au fost dezvoltate și testate de-a lungul mai multor decenii.

În general, multe dintre abordările la securitatea informatiei bazate pe strategiile militare din trecut. Există viruși troieni care seamănă cu vechea Bătălie din Troia, viruși ransomware care vă fură fișierele pentru răscumpărare și atacuri DDoS care limitează resursele inamicului. Limitând opțiunile adversarului, obțineți un anumit control asupra acțiunilor sale ulterioare. Această tactică funcționează foarte bine pentru ambii strategii militari. și pentru infractorii cibernetici.

În cazul strategiei militare, ne putem gândi foarte simplu la tipurile de resurse care pot fi limitate pentru a limita capacitățile unui inamic. Limitarea apei, a alimentelor și a materialelor de construcție ar distruge pur și simplu inamicul. Cu computerele totul este diferit, există diverse servicii, de exemplu, DNS, server web, servere e-mail. Toți au infrastructură diferită, dar există ceva care îi unește. Aceasta este o rețea. Fără o rețea, nu veți putea accesa serviciul de la distanță.

Stăpânii războiului pot otrăvi apa, pot arde recoltele și pot stabili puncte de control. Infractorii cibernetici pot trimite date incorecte către serviciu, pot face ca acesta să consume toată memoria sau să supraîncărce complet întregul canal al rețelei. Strategiile de apărare au și ele aceleași rădăcini. Administratorul serverului va trebui să monitorizeze trafic de intrare pentru a găsi software rău intenționat și a-l bloca înainte de a ajunge la canalul sau programul de rețea țintă.

Fondator și administrator de site, pasionat de software open source și sistem de operare Linux. În prezent folosesc Ubuntu ca sistem de operare principal. Pe lângă Linux, sunt interesat de tot ce are legătură cu tehnologia de informațieși știința modernă.