Çfarë përdoret për sulmet ddos. Sulmet DOS dhe DDoS: koncepti, llojet, metodat e zbulimit dhe mbrojtjes

Nuk kërkon shumë inteligjencë për të porositur një sulm DDoS. Paguani hakerat dhe mendoni për panikun e konkurrentëve tuaj. Fillimisht nga karrigia e drejtorit, dhe më pas nga një shtrat burgu.

Ne shpjegojmë pse kthimi te hakerat është gjëja e fundit që duhet të bëjë një sipërmarrës i ndershëm dhe cilat janë pasojat.

Si të bëni një sulm DDoSedhe një nxënës shkolle e di

Sot, mjetet për organizimin e një sulmi DDoS janë të disponueshme për të gjithë. Barriera e hyrjes për hakerat fillestarë është e ulët. Prandaj, pjesa e sulmeve të shkurtra, por të forta në faqet ruse u rrit Duket sikur grupet e hakerëve thjesht po praktikojnë aftësitë e tyre.

Rasti në pikë. Në vitin 2014, Portali Arsimor i Republikës së Tatarstanit pësoi sulme DDoS. Në pamje të parë, nuk ka asnjë pikë në sulm: kjo nuk është një organizatë tregtare dhe nuk ka asgjë për të kërkuar prej saj. Portali shfaq notat, oraret e klasave, etj. Jo më shumë. Ekspertët e Kaspersky Lab gjetën një grup VKontakte ku diskutuan studentët dhe nxënësit e shkollës nga Tatarstani si të bëni një sulm DDoS.

Komuniteti i luftëtarëve të rinj kundër sistemit të Republikës së Tatarstanit

Pyetjet e nxjerra nga "si të bëni një sulm DDoS në Tatarstan" i çuan specialistët e sigurisë kibernetike në një njoftim interesant. Interpretuesit u gjetën shpejt dhe u desh kompensojë dëmin.

Dikur grisnin faqe në ditarë, por tani hakojnë faqet e internetit

Për shkak të thjeshtësisë së sulmeve DDoS, të rinjtë pa parime morale ose të kuptuarit e aftësive të tyre i marrin përsipër. Ata gjithashtu mund të rishesin të dhënat e klientit. Përtëritja e autorëve të sulmeve DDoS është një prirje globale.

Afati i burgut në pranverë 2017 marrë nga një student britanik. Kur ishte 16 vjeç, ai krijoi Programi i sulmit DDoS Stresser Titanium. Britaniku fitoi 400 mijë sterlina (29 milionë rubla) nga shitja e tij. Duke përdorur këtë program DDoS, janë kryer 2 milionë sulme ndaj 650 mijë përdoruesve në mbarë botën.

Adoleshentët rezultuan se ishin anëtarë të grupeve të mëdha DDoS Lizard Squad dhe PoodleCorp. Të rinjtë amerikanë dolën me të tyren Programet DDoS, por i përdorën ato për të sulmuar serverët e lojërave për të fituar avantazhe në lojërat online. Kështu u gjetën.

Nëse do t'i besohet reputacioni i kompanisë nxënësve të djeshëm, të gjithë do të vendosin vetë.

Ndëshkimi përProgramet DDoSnë Rusi

Si të bëni një sulm DDoStë interesuar për sipërmarrësit që nuk duan të luajnë sipas rregullave të konkurrencës. Kështu bëjnë punonjësit e Drejtorisë "K" të Ministrisë së Punëve të Brendshme të Rusisë. Ata kapin interpretuesit.

Legjislacioni rus parashikon dënime për krimet kibernetike. Bazuar në praktikën aktuale, pjesëmarrësit në një sulm DDoS mund të përfshihen në artikujt e mëposhtëm.

Konsumatorët.Veprimet e tyre zakonisht bien poshtë- akses i paligjshëm në informacionin kompjuterik të mbrojtur ligjërisht.

Ndëshkimi:burgim deri në shtatë vjet ose gjobë deri në 500 mijë rubla.

Shembull. Një punonjës i departamentit të mbrojtjes së informacionit teknik të administratës së qytetit Kurgan u dënua sipas këtij neni. Ai zhvilloi programin multifunksional Meta. Me ndihmën e tij, sulmuesi mblodhi të dhëna personale për 1.3 milion banorë të rajonit. Më pas ia shita bankave dhe agjencive të grumbullimit. Hackera mori dy vjet burg.

Interpretuesit.Si rregull, ata dënohen nga Neni 273 i Kodit Penal të Federatës Ruse - krijimi, përdorimi dhe shpërndarja e programeve kompjuterike me qëllim të keq.

Ndëshkimi.Burgim deri në shtatë vjet me gjobë deri në 200 mijë rubla.

Shembull.Nxënëse 19-vjeçare nga Tolyatti mori një dënim me kusht 2.5 vjet dhe një gjobë prej 12 milionë rubla. Duke përdorur programet për sulmet DDoS, ai u përpoq të rrëzonte burimet e informacionit dhe faqet e internetit bankare. Pas sulmit, studenti ka zhvatur para.

Përdorues të pakujdesshëm.Mosrespektimi i rregullave të sigurisë gjatë ruajtjes së të dhënave dënohet me Neni 274 i Kodit Penal të Federatës Ruse - shkelje e rregullave për funksionimin e mjeteve të ruajtjes, përpunimit ose transmetimit të informacionit kompjuterik dhe rrjeteve të informacionit dhe telekomunikacionit.

Ndëshkimi:burgim deri në pesë vjet ose gjobë deri në 500 mijë rubla.

Shembull.Nëse paratë janë vjedhur në ndonjë mënyrë gjatë aksesit në informacion, artikulli do të riklasifikohet si mashtrim në fushën e informacionit kompjuterik (). Pra, dy vjet në një vendbanim koloni marrë nga hakerat e Uralit që fituan akses në serverët e bankave.

Sulmet ndaj mediave.Nëse sulmet DDoS kanë për qëllim shkeljen e të drejtave të gazetarisë, veprimet bien poshtë - pengimi i veprimtarive legjitime profesionale të gazetarit.

Ndëshkimi:burgim deri në gjashtë vjet ose gjobë deri në 800 mijë rubla.

Shembull.Ky artikull shpesh riklasifikohet në më të vështirat. Si të bëni një sulm DDoS ata që sulmuan Novaya Gazeta, Ekho Moskvy dhe Bolshoy Gorod e dinin. Edhe publikimet rajonale po bëhen viktima të hakerëve.

Në Rusi ka dënime të rënda për përdorim Programet DDoS . Anonimiteti nga Drejtoria “K” nuk do t'ju shpëtojë.

Programe për sulme DDoS

Sipas ekspertëve, 2000 bot janë të mjaftueshëm për të sulmuar një faqe interneti mesatare. Kostoja e një sulmi DDoS fillon nga 20 dollarë (1100 rubla). Numri i kanaleve të sulmit dhe koha e funksionimit diskutohen individualisht. Ka edhe zhvatje.

Një haker i mirë do të kryejë një pentest përpara një sulmi. Ushtria do ta quante këtë metodë "zbulim në fuqi". Thelbi i një pentesti është një sulm i vogël, i kontrolluar për të zbuluar burimet mbrojtëse të sitit.

Fakt interesant.Si të bëni një sulm DDoSShumë njerëz e dinë, por forca e një hakeri përcaktohet nga një botnet. Shpesh, sulmuesit vjedhin çelësat e aksesit të "ushtrive" nga njëri-tjetri dhe më pas i shesin ato. Një truk i njohur është të "fikni" wi-fi në mënyrë që të rindizet me forcë dhe të kthehet në cilësimet bazë. Në këtë gjendje, fjalëkalimi është standard. Më pas, sulmuesit fitojnë akses në të gjithë trafikun e organizatës.

Trendi më i fundit i hakerëve është hakerimi i pajisjeve inteligjente për të instaluar minatorët e kriptomonedhave në to. Këto veprime mund të kualifikohen sipas klauzolës së përdorimit malware(neni 273 i Kodit Penal të Federatës Ruse). Pra, oficerët e FSB-së i ndaluar administratori i sistemit Qendra e Kontrollit të Misionit. Ai instaloi minatorë në pajisjet e tij të punës dhe u pasurua. Sulmuesi u identifikua nga rryma elektrike.

Hakerët do të kryejnë një sulm DDoS ndaj një konkurrenti. Më pas ata mund të kenë akses në fuqinë e tij kompjuterike dhe të minojnë një ose dy Bitcoin. Vetëm këto të ardhura nuk do t'i shkojnë klientit.

Rreziqet e porositjes së një sulmi DDoS

Le të përmbledhim duke peshuar avantazhet dhe disavantazhet e porositjes së një sulmi DDoS ndaj konkurrentëve.

Nëse konkurrentët e kanë mërzitur biznesin, hakerat nuk do të ndihmojnë. Ata vetëm do t'i përkeqësojnë gjërat. Agjencia "Digital Sharks" informacione të padëshiruara përmes mjeteve ligjore.

Aktiv sistemi kompjuterik me qëllim për ta çuar atë në dështim, pra krijimin e kushteve në të cilat përdoruesit e ligjshëm (legjitimë) të sistemit nuk mund të aksesojnë burimet (serverët) e ofruar nga sistemi, ose kjo qasje është e vështirë. Dështimi i një sistemi "armik" mund të jetë gjithashtu një hap drejt zotërimit të sistemit (nëse në një situatë emergjente softueri prodhon ndonjë informacion kritik - për shembull, version, pjesë kodi i programit etj.). Por më shpesh kjo është një masë e presionit ekonomik: ndërprerja e një shërbimi që gjeneron të ardhura, faturat nga ofruesi dhe masat për të shmangur një sulm godasin ndjeshëm "objektivin" në xhep.

Nëse një sulm kryhet njëkohësisht nga një numër i madh kompjuterësh, flasim për Sulmi DDoS(nga anglishtja Refuzimi i Shpërndarë i Shërbimit, sulmi i shpërndarë i mohimit të shërbimit). Në disa raste, një sulm aktual DDoS shkaktohet nga një veprim i paqëllimshëm, për shembull, vendosja në një burim popullor të Internetit një lidhje me një sajt të vendosur në një server jo shumë produktiv (efekti slashdot). Një fluks i madh përdoruesish çon në tejkalimin e ngarkesës së lejuar në server dhe, rrjedhimisht, një refuzim të shërbimit për disa prej tyre.

Llojet e sulmeve DoS

Ka arsye të ndryshme pse mund të ndodhë një gjendje DoS:

• Gabim në kodin e programit, që çon në aksesin në një fragment të papërdorur të hapësirës së adresave, ekzekutimin e një udhëzimi të pavlefshëm ose përjashtime të tjera të patrajtuara kur programi i serverit - programi i serverit - rrëzohet. Një shembull klasik është ndryshimi me zero. nul) adresa.
• Verifikimi i pamjaftueshëm i të dhënave të përdoruesit, duke çuar në një cikël të pafund ose të gjatë ose në rritje të konsumit afatgjatë të burimeve të procesorit (deri në shterimin e burimeve të procesorit) ose në shpërndarjen e një sasie të madhe RAM(derisa memoria e disponueshme të shterohet).
• Përmbytje(anglisht) përmbytje- "përmbytje", "mbushje") - një sulm i lidhur me një numër të madh kërkesash zakonisht të pakuptimta ose të formatuara gabimisht për një sistem kompjuterik ose pajisje rrjeti, që synojnë ose çojnë në një dështim të sistemit për shkak të rraskapitjes. burimet e sistemit- procesor, memorie ose kanale komunikimi.
• Sulmi i llojit të dytë- një sulm që kërkon të shkaktojë një alarm të rremë të sistemit të sigurisë dhe kështu të çojë në mungesën e disponueshmërisë së një burimi.

Nëse një sulm (zakonisht një përmbytje) kryhet njëkohësisht me sasi e madhe Adresat IP - nga disa kompjuterë të shpërndarë në rrjet - atëherë në këtë rast quhet të shpërndara sulmi i mohimit të shërbimit ( DDoS).

Shfrytëzimi i gabimeve

shfrytëzojnëështë një program, një pjesë e kodit të softuerit ose një sekuencë komandash softuerësh që shfrytëzon dobësitë në softuer dhe përdoret për të kryer një sulm në një sistem kibernetik. Nga shfrytëzimet që çojnë në një sulm DoS, por janë të papërshtatshme, për shembull, për marrjen e kontrollit të një sistemi "armik", më të njohurit janë WinNuke dhe Ping of death.

Përmbytje

Për përmbytjet si shkelje e rregullave të internetit, shih përmbytjet.

Përmbytje thirrni një rrjedhë të madhe kërkesash të pakuptimta nga kompjuterë të ndryshëm në mënyrë që të pushtoni sistemin "armik" (procesorin, RAM ose kanalin e komunikimit) me punë dhe në këtë mënyrë ta çaktivizoni atë përkohësisht. Koncepti i "sulmit DDoS" është pothuajse i barabartë me konceptin e "përmbytjes" dhe në jetën e përditshme të dyja janë shpesh të këmbyeshme ("përmbytja e serverit" = "DDoS serveri").

Për të krijuar një përmbytje, mund të përdoren të dyja shërbimet e zakonshme të rrjetit si ping (për shembull, komuniteti i Internetit "Upyachka" është i njohur për këtë), si dhe programe speciale. Mundësia e DDoS shpesh është "e lidhur" në botnet. Nëse një sajt me trafik të lartë zbulohet se ka një dobësi të skriptimit ndër-site ose aftësinë për të përfshirë imazhe nga burime të tjera, kjo faqe mund të përdoret gjithashtu për një sulm DDoS.

Përmbytja e kanalit të komunikimit dhe nënsistemit TCP

Çdo kompjuter i lidhur me bota e jashtme nëpërmjet protokollit TCP/IP, i ndjeshëm ndaj llojeve të mëposhtme të përmbytjeve:

• SYN flood - me këtë lloj sulmi flood, një numër i madh i paketave SYN dërgohen në nyjen e sulmuar përmes protokollit TCP (kërkesat për të hapur një lidhje). Në këtë rast, pas një kohe të shkurtër, numri i prizave (prizat e rrjetit softuer, portat) të disponueshme për hapje shterohet në kompjuterin e sulmuar dhe serveri ndalon së përgjigjuri.
• UDP përmbytje - ky lloj përmbytjeje nuk sulmon kompjuterin e synuar, por kanalin e tij të komunikimit. Ofruesit në mënyrë të arsyeshme supozojnë se paketat UDP duhet të dorëzohen së pari dhe TCP mund të presë. Një numër i madh i paketave UDP të madhësive të ndryshme bllokojnë kanalin e komunikimit dhe serveri që funksionon në protokollin TCP ndalon të përgjigjet.
• Përmbytja ICMP është e njëjta gjë, por duke përdorur paketat ICMP.

Përmbytja e nivelit të aplikimit

Shumë shërbime janë krijuar në atë mënyrë që një kërkesë e vogël mund të shkaktojë një konsum të madh të fuqisë kompjuterike në server. Në këtë rast, nuk është kanali i komunikimit ose nënsistemi TCP që sulmohet, por vetë shërbimi - një vërshim kërkesash të ngjashme "të sëmura". Për shembull, serverët e uebit janë të cenueshëm ndaj vërshimit të HTTP-së ose një kërkesë e thjeshtë GET / ose një kërkesë komplekse e bazës së të dhënave si GET /index.php?search= mund të përdoret për të çaktivizuar një server në internet.<случайная строка> .

Zbulimi i sulmeve DoS

Ekziston një mendim se nuk kërkohen mjete speciale për zbulimin e sulmeve DoS, pasi fakti i një sulmi DoS nuk mund të injorohet. Në shumë raste kjo është e vërtetë. Megjithatë, mjaft shpesh janë vërejtur sulme të suksesshme DoS, të cilat janë vërejtur nga viktimat vetëm pas 2-3 ditësh. Ndodhi që pasojat negative të sulmit ( përmbytje-sulmet) rezultuan në kosto të panevojshme për pagesën e trafikut të tepërt të internetit, gjë që u bë e qartë vetëm kur merrej një faturë nga ofruesi i Internetit. Përveç kësaj, shumë metoda të zbulimit të sulmit janë joefektive pranë objektivit të sulmit, por janë efektive në shtyllat kurrizore të rrjetit. Në këtë rast, këshillohet të instaloni sistemet e zbulimit atje, në vend që të prisni derisa përdoruesi që është sulmuar ta vërejë vetë dhe të kërkojë ndihmë. Përveç kësaj, për të kundërshtuar në mënyrë efektive sulmet DoS, është e nevojshme të njihni llojin, natyrën dhe karakteristikat e tjera të sulmeve DoS, dhe sistemet e zbulimit ju lejojnë të merrni shpejt këtë informacion.

Metodat për zbulimin e sulmeve DoS mund të ndahen në disa grupe të mëdha:

• nënshkrim - bazuar në analizën cilësore të trafikut.
• statistikore - bazuar në analizën sasiore të trafikut.
• hibrid (i kombinuar) - duke kombinuar avantazhet e të dyja metodave të mësipërme.

Mbrojtje kundër sulmeve DoS

Masat për të luftuar sulmet DoS mund të ndahen në pasive dhe aktive, si dhe parandaluese dhe reaksionare.

Më poshtë është një listë e shkurtër e metodave kryesore.

• Parandalimi. Parandalimi i arsyeve që nxisin individë të caktuar të organizojnë dhe nisin sulme DoS. (Shumë shpesh, sulmet kibernetike janë përgjithësisht rezultat i ankesave personale, mosmarrëveshjeve politike, fetare dhe të tjera, sjellje provokuese të viktimës, etj.)
• Filtrimi dhe vrima e zezë. Bllokimi i trafikut që vjen nga makinat sulmuese. Efektiviteti i këtyre metodave zvogëlohet kur i afroheni objektivit të sulmit dhe rritet kur i afroheni makinës sulmuese.
• DDOS e kundërt- ridrejtimi i trafikut të përdorur për një sulm te sulmuesi.
• Eliminimi i dobësive. Nuk funksionon kundër përmbytje-sulmet për të cilat “vulnerabiliteti” është fundshmëria e burimeve të caktuara të sistemit.
• Rritja e burimeve. Natyrisht, ai nuk ofron mbrojtje absolute, por është një sfond i mirë për përdorimin e llojeve të tjera të mbrojtjes kundër sulmeve DoS.
• Shpërndarja. Ndërtimi i sistemeve të shpërndara dhe të dyfishuara që nuk do të ndalojnë së shërbyeri përdoruesit, edhe nëse disa nga elementët e tyre bëhen të padisponueshëm për shkak të një sulmi DoS.
• Evazioni. Lëvizja e objektivit të menjëhershëm të një sulmi (emri i domenit ose adresa IP) larg burimeve të tjera që shpesh ekspozohen gjithashtu së bashku me objektivin e menjëhershëm të sulmit.
• Përgjigje aktive. Ndikimi në burimet, organizatorin apo qendrën e kontrollit të sulmit, si mjete teknologjike ashtu edhe organizative-ligjore.
• Përdorimi i pajisjeve për të zmbrapsur sulmet DoS. Për shembull, DefensePro® (Radware), Perimetri (MFI Soft), Arbor Peakflow® dhe nga prodhues të tjerë.
• Blerja e një shërbimi për të mbrojtur kundër sulmeve DoS. Kjo është e rëndësishme nëse përmbytjet tejkalojnë kapacitetin e kanalit të rrjetit.

Shihni gjithashtu

Shënime

Letërsia

• Chris Kaspersky Viruset kompjuterike brenda dhe jashtë. - Pjetri. - Shën Petersburg. : Peter, 2006. - F. 527. - ISBN 5-469-00982-3
• Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analiza e shkeljeve tipike të sigurisë në rrjete = Nënshkrimet dhe Analiza e Ndërhyrjes. - New Riders Publishing (anglisht) St.
• Morris, R. T.= Një dobësi në softuerin 4.2BSD Unix TCP/IP. - Raporti Teknik i Shkencave Kompjuterike Nr.117. - AT&T Bell Laboratories, shkurt 1985.
• Bellovin, S. M.= Probleme sigurie në paketën e protokollit TCP/IP. - Rishikimi i Komunikimit Kompjuterik, Vëll. 19, Nr.2. - AT&T Bell Laboratories, Prill 1989.
• =daemon9/route/infinity "IP-spooling Demystified: Trust Realization Exploitation." - Phrack Magazine, Vol.7, Issue 48. - Guild Production, korrik 1996.
• =daemon9/route/infinity "Projekti Neptun". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, korrik 1996.

Lidhjet

• Sulmi DoS në direktorinë e lidhjes së Projektit të Drejtorisë së Hapur (

Sulmi DDoS (Distributed Denial of Service Sulmi) është një grup veprimesh që mund të çaktivizojnë plotësisht ose pjesërisht një burim të internetit. Viktima mund të jetë pothuajse çdo burim interneti, si një faqe interneti, server lojërash ose burim qeveritar. Aktiv për momentinËshtë pothuajse e pamundur që një haker të organizojë vetëm një sulm DDoS. Në shumicën e rasteve, sulmuesi përdor një rrjet kompjuterash të infektuar me një virus. Virusi ju lejon të merrni të nevojshme dhe të mjaftueshme akses në distancë në kompjuterin e infektuar. Një rrjet kompjuterash të tillë quhet botnet. Si rregull, botnet-et kanë një server koordinues. Pasi ka vendosur të kryejë një sulm, sulmuesi dërgon një komandë në serverin koordinues, i cili nga ana tjetër i sinjalizon të gjithëve që të fillojnë të ekzekutojnë kërkesat e rrjetit me qëllim të keq.

Arsyet e sulmeve DDoS

• Armiqësi personale

Kjo arsye ndodh mjaft shpesh. Pak kohë më parë, gazetari-studiues i pavarur Brian Krebs zbuloi aktivitetet e shërbimit më të madh për kryerjen e sulmeve DDoS me porosi - vDOS. Informacioni u prezantua me detaje të plota, gjë që çoi në arrestimin e organizatorëve të këtij shërbimi. Si përgjigje, hakerët filluan një sulm në blogun e gazetarit, fuqia e të cilit arriti në 1 Tbit/s. Ky sulm ishte më i fuqishmi në botë në vite.

• Argëtim

Në ditët e sotme, po bëhet gjithnjë e më e lehtë të organizosh një sulm primitiv DDoS vetë. Një sulm i tillë do të ishte jashtëzakonisht i papërsosur dhe anonim. Për fat të keq, shumica e atyre që vendosin të ndihen si "haker" nuk kanë asnjë ide as për të parën, as për të dytin. Megjithatë, shumë nxënës shkollash shpesh praktikojnë sulme DDoS. Rezultati i rasteve të tilla mund të jetë shumë i ndryshëm.

• Protesta politike (haktivizëm)

Një nga sulmet e para të motivuara nga shoqëria ishte sulmi DDoS, i zbatuar në vitin 1996 nga hakeri Omega. Omega ishte anëtare e koalicionit të hakerëve "Cult of the Dead Crew" (cDc). Termi hakktivizëm është bërë i njohur në media për shkak të frekuencës në rritje të sulmeve kibernetike të motivuara nga shoqëria. Përfaqësues tipik të haktivistëve janë grupet Anonymous dhe LulzSec.

• Konkurrenca e pandershme

Motive të tilla ndodhin shpesh në industri. serverët e lojërave, por në industrinë tregtare raste të tilla ndodhin mjaft shpesh. Mjaft mënyrë efektive konkurrenca e pandershme që mund të shkatërrojë reputacionin platformë tregtare, nëse pronarët e saj nuk i drejtohen specialistëve për ndihmë në kohë. Ky motiv mund të dallohet ndër të tjerat si më i zakonshmi.

• Zhvatje apo shantazh

Në këtë rast, sulmuesi kërkon një shumë parash nga viktima e mundshme për mos kryerjen e sulmit. Ose për përfundimin e saj. Organizatat e mëdha shpesh bëhen viktima të sulmeve të tilla, për shembull, gjatë vitit 2014, u sulmuan banka Tinkoff dhe burimi i IT Habrahabr, gjurmuesi më i madh i torrenteve Rutracker.org (si ishte kjo?).

Pasojat e sulmeve DDoS

Pasojat e sulmeve DDoS mund të jenë shumë të ndryshme, nga mbyllja e serverit tuaj nga qendra e të dhënave deri te humbja e plotë e reputacionit të burimit dhe rrjedhës së klientit. Shumë organizata, për të kursyer para, zgjedhin pa vetëdije ofruesit e paskrupullt të sigurisë, gjë që shpesh nuk sjell ndonjë përfitim. Për të shmangur probleme të tilla, ju rekomandojmë të kontaktoni profesionistë në industrinë tuaj.

Sulmet që bënë historinë e internetit

Progresi teknologjik po përparon me hapa të mëdhenj dhe sulmuesit, nga ana tjetër, po bëjnë çdo përpjekje për të mos qëndruar në vend dhe për të zbatuar sulme gjithnjë e më komplekse dhe të fuqishme. Ne kemi mbledhur përshkrim i shkurtër rastet më interesante që zbritën në historinë e sulmeve DDoS. Disa prej tyre mund të duken të zakonshme sipas standardeve moderne, por në kohën kur ndodhën, këto ishin sulme në shkallë shumë të gjerë.

Ping Of Dead. Një metodë sulmi e bazuar në komandën ping. Ky sulm fitoi popullaritet në vitet 1990 për shkak të pajisjeve të papërsosura të rrjetit. Thelbi i sulmit është të dërgoni një kërkesë të vetme ping në një nyje rrjeti, dhe trupi i paketës nuk përfshin standardin 64 bajt të të dhënave, por 65535 bajt. Kur merrej një paketë e tillë, grupi i rrjetit të pajisjes do të tejmbushte dhe do të shkaktonte një refuzim të shërbimit.

Një sulm që ndikoi në stabilitetin e internetit. Në vitin 2013, Spamhaus ishte viktimë e një sulmi me një kapacitet mbi 280 Gbps. Gjëja më interesante është se për sulmin, hakerët përdorën serverë DNS nga interneti, të cilët nga ana e tyre ishin shumë të ngarkuar me një numër të madh kërkesash. Atë ditë, miliona përdorues u ankuan për ngarkimin e ngadaltë të faqeve për shkak të mbingarkesës së shërbimit.

Regjistro sulmin me trafik mbi 1 Tbit/s. Në vitin 2016, hakerët u përpoqën të na sulmonin me një sulm me paketa me shpejtësi 360 Mpps dhe 1 Tbps. Kjo shifër është bërë rekord që nga ekzistenca e internetit. Por edhe nën një sulm të tillë ne mbijetuam dhe ngarkesa në rrjet vetëm pak kufizoi burimet e lira të pajisjeve të rrjetit.

Karakteristikat e sulmeve sot

Duke përjashtuar sulmet e pikut, mund të themi se fuqia e sulmeve po rritet më shumë se 3-4 herë çdo vit. Gjeografia e sulmuesve ndryshon vetëm pjesërisht nga viti në vit, sepse kjo është për shkak të numrit maksimal të kompjuterëve në një vend të caktuar. Siç shihet nga raporti tremujor për vitin 2016, i përgatitur nga specialistët tanë, vendet rekord për numrin e boteve janë Rusia, SHBA dhe Kina.

Cilat janë llojet e sulmeve DDoS?

Për momentin, llojet e sulmeve mund të ndahen në 3 klasa:

Sulmet e përmbytjeve në kanal

Ky lloj sulmi përfshin, dhe;

Sulmet që shfrytëzojnë dobësitë në grumbullin e protokollit të rrjetit

Sulmet më të njohura dhe më interesante të këtij lloji janë sulmet /.

Pse të na zgjidhni ne? Pajisjet tona janë të vendosura në qendrat kryesore të të dhënave në mbarë botën dhe janë të afta të mposhtin sulmet deri në 300 Gbps ose 360 ​​milionë pako në sekondë. Ne gjithashtu kemi një rrjet të shpërndarjes së përmbajtjes () dhe një staf inxhinierësh në detyrë në rast të një sulmi jo standard ose situatave emergjente. Prandaj, duke marrë mbrojtjen tonë, mund të jeni të sigurt për disponueshmërinë e burimit tuaj 24/7. Ne na besojnë: REG.RU, Argumente dhe Fakte, WebMoney, Radio Holding Ruse GPM dhe korporata të tjera.

Ju mund të zbatoni vetë mbrojtjen kundër vetëm një numri të vogël sulmesh, duke analizuar trafikun ose duke vendosur rregullat e rrugëtimit. Janë dhënë metoda për t'u mbrojtur nga disa sulme.

Me sa duket, shumica e përdoruesve modernë të sistemit kompjuterik kanë dëgjuar për konceptin e një sulmi DDoS. Si ta bëni vetë, natyrisht, nuk do të konsiderohet tani (përveç për qëllime informative), pasi veprime të tilla janë të paligjshme në përputhje me çdo legjislacion. Sidoqoftë, do të jetë e mundur të zbulohet se çfarë është në përgjithësi dhe si funksionon gjithçka. Por le të vërejmë menjëherë: nuk duhet ta perceptoni materialin e paraqitur më poshtë si një lloj udhëzimi ose udhëzuesi për veprim. Informacioni jepet vetëm për qëllim të kuptimit të përgjithshëm të problemit dhe vetëm për njohuri teorike. Përdorimi i produkteve të caktuara softuerike ose organizimi i veprimeve të paligjshme mund të sjellë përgjegjësi penale.

Çfarë është një sulm DDoS në një server?

Vetë koncepti i një sulmi DDoS mund të interpretohet bazuar në dekodimin e shkurtesës angleze. Shkurtesa qëndron për Refuzimin e Shërbimit të Shpërndarë, domethënë, përafërsisht, mohim i shërbimit ose i performancës.

Nëse e kuptoni se çfarë është një sulm DDoS në një server, rast i përgjithshëm kjo është një ngarkesë në një burim përmes një numri të shtuar të kërkesave (kërkesave) të përdoruesve mbi një kanal të caktuar komunikimi, i cili, natyrisht, ka kufizime në vëllimin e trafikut kur serveri thjesht nuk është në gjendje t'i përpunojë ato. Për shkak të kësaj, ndodh mbingarkesa. Në fakt, softueri dhe pajisja e serverit thjesht nuk kanë burime të mjaftueshme kompjuterike për të përballuar të gjitha kërkesat.

Parimet e organizimit të sulmeve

Një sulm DDoS bazohet në thelb në disa kushtet themelore. Gjëja më e rëndësishme është që në fazën e parë të fitoni akses në ndonjë kompjuter përdoruesi apo edhe server duke futur kode me qëllim të keq në të në formën e programeve që sot quhen zakonisht Trojans.

Si të organizoni vetë një sulm DDoS në këtë fazë? Plotësisht e thjeshtë. Të ashtuquajturat sniffer mund të përdoren për të infektuar kompjuterët. Mjafton t'i dërgoni viktimës një letër adresën e emailit me një bashkëngjitje (për shembull, një foto që përmban kod të ekzekutueshëm), kur hapet, sulmuesi fiton akses në kompjuterin e dikujt tjetër përmes adresës së tij IP.

Tani disa fjalë për atë që përfshin faza e dytë, e cila përfshin një sulm DDoS. Si të bëni kërkesën e radhës? Është e nevojshme që numri maksimal i kërkesave të dërgohet në server ose në burimin e Internetit. Natyrisht, kjo nuk mund të bëhet nga një terminal, kështu që do të duhet ta përdorni kompjuterë shtesë. Përfundimi sugjeron vetë: është e nevojshme që virusi i futur t'i infektojë ato. Si rregull, skriptet e tilla, versionet e gatshme të të cilave mund të gjenden edhe në internet, kopjohen vetë dhe infektojnë terminale të tjerë në mjedisin e rrjetit nëse ka. lidhje aktive ose nëpërmjet internetit.

Llojet e sulmeve DDoS

Një sulm DDoS në kuptimin e përgjithshëm quhet kështu vetëm me kusht. Në fakt, ekzistojnë të paktën katër lloje të tij (megjithëse sot ka deri në 12 modifikime):

• prishja e serverit duke dërguar instruksione të pasakta për t'u ekzekutuar;
• dërgimi masiv i të dhënave të përdoruesit, që çon në verifikimin ciklik;
• përmbytje - kërkesat e formuara gabimisht;
• prishja e kanalit të komunikimit duke u tejmbushur me adresa false.

Historia e paraqitjes

Ata filluan të flasin për sulme të këtij lloji në vitin 1996, por më pas askush nuk i kushtoi shumë rëndësi. Problemi filloi të dënohej seriozisht vetëm në vitin 1999, kur u sulmuan serverët më të mëdhenj në botë si Amazon, Yahoo, E-Trade, eBay, CNN dhe të tjerë.

Pasojat rezultuan me humbje të konsiderueshme për shkak të ndërprerjes së këtyre shërbimeve, edhe pse në atë kohë këto ishin vetëm raste të pjesshme. Ende nuk është folur për një kërcënim të përhapur.

Rasti më i famshëm i sulmit DDoS

Megjithatë, siç doli më vonë, çështja nuk u kufizua vetëm në këtë. Sulmi më i madh DDoS në të gjithë historinë e botës kompjuterike u regjistrua në vitin 2013, kur lindi një mosmarrëveshje midis Spamhaus dhe ofruesit holandez Cyberbunker.

Organizata e parë, pa shpjegime, përfshiu ofruesin në listën e spammers, pavarësisht nga fakti se shumë organizata dhe shërbime të respektuara (dhe jo aq të respektuara) dhe shërbime përdorën serverët e saj. Për më tepër, serverët e ofruesit, sado i çuditshëm mund të duket, ndodheshin në një ish-bunker të NATO-s.

Në përgjigje të veprimeve të tilla, Cyberbunker nisi një sulm, i cili u mor përsipër nga CDN CloudFlare. Goditja e parë erdhi më 18 Mars, të nesërmen shpejtësia e kërkesave u rrit në 90 Gbit/s, më 21 pati një qetësi, por më 22 Mars shpejtësia ishte tashmë 120 Gbit/s. Nuk ishte e mundur të çaktivizohej CloudFlare, kështu që shpejtësia u rrit në 300 Gbit/s. Deri më sot, kjo është një shifër rekord.

Cilat janë programet e sulmit DDoS?

Për sa i përket softuerit të përdorur aktualisht, aplikacioni më i përdorur konsiderohet të jetë programi LOIC, i cili megjithatë lejon sulme vetëm në serverë me adresa IP dhe URL tashmë të njohura. Gjëja më e trishtueshme është se është postuar në internet për shkarkim falas.

Por, siç është tashmë e qartë, këtë aplikacion mund të përdoret vetëm në lidhje me softuerin që ju lejon të keni akses në kompjuterin e dikujt tjetër. Për arsye të dukshme, emrat dhe udhëzime të plota për përdorimin e tyre nuk janë dhënë këtu.

Si të bëni një sulm vetë?

Pra, ne kemi nevojë për një sulm DDoS. Le të shohim shkurtimisht se si ta bëni vetë. Supozohet se sniffer ka punuar dhe ju keni akses në terminalin e dikujt tjetër. Kur ekzekutoni skedarin e ekzekutueshëm të programit Loic.exe, thjesht futni adresat e kërkuara në dritare dhe shtypni butonin Lock On.

Pas kësaj, në rregullimin e shpejtësisë së transmetimit mbi protokollet HTTP/UDF/TCP, faderi vendoset në vlerën maksimale (10 në minimumin e paracaktuar), pas së cilës butoni IMMA CHARGIN MAH LAZER përdoret për të nisur sulmin.

Si të mbroheni nga sulmet?

Kur flisni për programet që mund të gjeni për sulmet DDoS, nuk mund të injoroni mjetet e mbrojtjes. Në fund të fundit, edhe ligji i tretë i Njutonit thotë se çdo veprim shkakton një reagim.

Në rastin më të thjeshtë, përdoren antiviruset dhe muret e zjarrit (të ashtuquajturat mure zjarri), të cilët mund të paraqiten ose në formë softuerike ose si harduer kompjuterik. Për më tepër, shumë ofrues sigurie mund të rishpërndajnë kërkesat midis disa serverëve, të filtrojnë trafikun në hyrje, të instalojnë sisteme të dyfishta të mbrojtjes, etj.

Një nga metodat e kryerjes së sulmeve është teknika e Amplifikimit DNS - teknologjia e dërgimit të kërkesave rekursive në serverët DNS me adresa kthimi jo-ekzistente. Prandaj, si mbrojtje kundër fatkeqësive të tilla, mund të përdorni me siguri paketën universale fail2ban, e cila sot ju lejon të instaloni një pengesë mjaft të fuqishme për postime të këtij lloji.

Çfarë tjetër duhet të dini?

Në përgjithësi, edhe një fëmijë mund të ketë akses në kompjuterin tuaj nëse dëshiron. Për më tepër, edhe disa të specializuara veçanërisht komplekse software nuk do të kërkohet, dhe më pas një sulm DDoS mund të kryhet nga kompjuteri juaj "zombie". Si ta bëni vetë është, në terma të përgjithshëm, tashmë e qartë.

Por nuk mendoj se ia vlen të bësh gjëra të tilla. Vërtetë, disa përdorues dhe programues fillestarë përpiqen të kryejnë veprime të tilla, si të thuash, nga interesi thjesht sportiv. Mos harroni: çdo administrator i ditur do të kuptojë, nëse jo ju, atëherë vendndodhjen e ofruesit, edhe nëse në një fazë është përdorur një server proxy anonim në internet. Ju nuk keni nevojë të shkoni larg. I njëjti burim WhoIs mund të sigurojë shumë informacione për të cilat as nuk dini. Epo, atëherë, siç thonë ata, është çështje teknike.

E tëra çfarë ju duhet të bëni është të kontaktoni ofruesin tuaj me kërkesën e duhur që tregon IP-në e jashtme dhe ai (në përputhje me standardet ndërkombëtare) do të japë të dhëna për vendndodhjen tuaj dhe të dhënat personale. Prandaj, materiali i paraqitur më sipër nuk duhet të konsiderohet si shtysë për veprime të paligjshme. Kjo është e mbushur me pasoja mjaft të rënda.

Por sa i përket vetë sulmeve, ia vlen të thuhet veçmas se ju vetë duhet të merrni disa masa për të mbrojtur sistemin, sepse kodet me qëllim të keq madje mund të përmbahen në banderola të internetit, kur klikohet, një Trojan mund të shkarkohet në kompjuterin tuaj. Dhe jo të gjithë antiviruset janë në gjendje të filtrojnë kërcënime të tilla. Dhe fakti që një kompjuter mund të shndërrohet në një lloj kutie zombie nuk diskutohet fare. Përdoruesi mund të mos e vërejë këtë (përveç nëse trafiku në dalje është rritur). Instalimi dhe konfigurimi i paketës fail2ban është mjaft kompleks, kështu që duhet të përdorni një antivirus serioz (Eset, Kaspersky) si mjetet më primitive, dhe jo produkte softuerësh falas, dhe gjithashtu të mos çaktivizoni mjetet tuaja. Mbrojtja e Windows si një mur zjarri.

Gjithnjë e më shumë, aty-këtu në komunikimet zyrtare nga ofruesit e pritjes ka referenca për sulmet e pasqyruara DDoS. Gjithnjë e më shumë, përdoruesit, pasi zbulojnë paarritshmërinë e faqes së tyre, marrin menjëherë DDoS. Në të vërtetë, në fillim të marsit, Runet përjetoi një valë të tërë sulmesh të tilla. Në të njëjtën kohë, ekspertët sigurojnë se argëtimi sapo ka filluar. Është thjesht e pamundur të injorosh një fenomen kaq të rëndësishëm, kërcënues dhe intrigues. Pra, sot le të flasim për mitet dhe faktet rreth DDoS. Nga këndvështrimi i ofruesit të pritjes, natyrisht.

Ditë e paharrueshme

Më 20 nëntor 2013, për herë të parë në historinë 8-vjeçare të kompanisë sonë, e gjithë platforma teknike ishte e padisponueshme për disa orë për shkak të një sulmi të paprecedentë DDoS. Dhjetëra mijëra klientë tanë në të gjithë Rusinë dhe CIS vuajtën, për të mos përmendur veten dhe ofruesin tonë të internetit. Gjëja e fundit që ofruesi arriti të regjistronte përpara se drita e bardhë të shuhej për të gjithë ishte se kanalet e tij hyrëse ishin të bllokuara fort me trafikun në hyrje. Për ta vizualizuar këtë, imagjinoni vaskën tuaj me një kullues të rregullt, me Ujëvarat e Niagarës që nxitojnë në të.

Edhe ofruesit më të lartë të zinxhirit ndjenë efektet e këtij cunami. Grafikët e mëposhtëm ilustrojnë qartë se çfarë po ndodhte atë ditë me trafikun e internetit në Shën Petersburg dhe në Rusi. Vini re majat e pjerrëta në orën 15 dhe 18, pikërisht në momentet kur regjistruam sulmet. Për këto të papritura plus 500-700 GB.

U deshën disa orë për të lokalizuar sulmin. Serveri në të cilin është dërguar është llogaritur. Më pas u llogarit objektivi i terroristëve të internetit. A e dini se kë godiste gjithë kjo artileri armike? Një faqe klientësh shumë e zakonshme, modeste.

Miti numër një: “Objektivi i sulmit është gjithmonë ofruesi i pritjes. Këto janë makinacionet e konkurrentëve të tij. Jo e imja”. Në fakt, objektivi më i mundshëm i terroristëve të internetit është një faqe e zakonshme klientësh. Kjo është, faqja e një prej fqinjëve tuaj pritës. Ose ndoshta edhe e juaja.

Jo gjithçka është DDoS...

Pas ngjarjeve në faqen tonë teknike më 20 nëntor 2013 dhe përsëritjes së pjesshme të tyre më 9 janar 2014, disa përdorues filluan të supozojnë DDoS në ndonjë dështim të veçantë të faqes së tyre të internetit: "Ky është DDoS!" dhe "A po përjetoni përsëri DDoS?"

Është e rëndësishme të mbani mend se nëse goditemi nga një DDoS i tillë që edhe klientët tanë e ndiejnë atë, ne e raportojmë menjëherë vetë.

Ne dëshirojmë të sigurojmë ata që janë në nxitim për panik: nëse ka diçka që nuk shkon me faqen tuaj, atëherë probabiliteti që është DDoS është më pak se 1%. Thjesht për faktin se shumë gjëra mund t'i ndodhin një faqeje, dhe këto "shumë gjëra" ndodhin shumë më shpesh. Ne do të flasim për metodat për vetë-diagnostikim të shpejtë të asaj që saktësisht po ndodh me faqen tuaj në një nga postimet e mëposhtme.

Ndërkohë, për hir të saktësisë së përdorimit të fjalëve, le të sqarojmë termat.

Rreth kushteve

Sulmi DoS (nga anglishtja Denial of Service) - Ky është një sulm i krijuar për të bërë që një server të mohohet shërbimi për shkak të mbingarkesës së tij.

Sulmet DoS nuk lidhen me dëmtimin e pajisjeve ose vjedhjen e informacionit; qëllimin e tyre - bëni që serveri të ndalojë përgjigjen ndaj kërkesave. Dallimi themelor midis DoS është se sulmi ndodh nga një makinë në tjetrën. Janë pikërisht dy pjesëmarrës.

Por në realitet, ne nuk shohim praktikisht asnjë sulm DoS. Pse? Për shkak se objektivat e sulmeve janë më shpesh objektet industriale (për shembull, serverë të fuqishëm produktiv të kompanive pritëse). Dhe për të shkaktuar ndonjë dëm të dukshëm në funksionimin e një makine të tillë, nevojitet fuqi shumë më e madhe se ajo e saj. Kjo është gjëja e parë. Dhe së dyti, iniciatori i një sulmi DoS është mjaft i lehtë për t'u identifikuar.

DDoS - në thelb i njëjtë me DoS, vetëm sulmi është natyrën e shpërndarë. Jo pesë, jo dhjetë, jo njëzet, por qindra e mijëra kompjuterë hyjnë në një server njëkohësisht nga vende të ndryshme. Kjo ushtri makinash quhet botnet. Është pothuajse e pamundur të identifikosh klientin dhe organizatorin.

Bashkëpunëtorët

Çfarë lloj kompjuterësh përfshihen në botnet?

Do të habiteni, por këto janë shpesh makineritë më të zakonshme të shtëpisë. Kush e di?.. - me shumë mundësi e juaja kompjuter në shtëpi të çuar në anën e së keqes.

Nuk ju duhet shumë për këtë. Një sulmues gjen një dobësi në një popullor sistemi operativ ose aplikacion dhe me ndihmën e tij infekton kompjuterin tuaj me një trojan, i cili në një ditë dhe orë të caktuar udhëzon kompjuterin tuaj të fillojë të kryejë veprime të caktuara. Për shembull, dërgoni kërkesa në një IP specifike. Pa dijeninë apo pjesëmarrjen tuaj, sigurisht.

Miti numër dy: « DDoS është bërë diku larg meje, në një bunker të posaçëm nëntokësor ku ulen hakerë mjekër me sy të kuq.” Në fakt, pa e ditur, ju, miqtë dhe fqinjët tuaj - kushdo mund të jetë bashkëpunëtor i padashur.

Kjo po ndodh vërtet. Edhe nëse nuk e mendoni. Edhe nëse jeni tmerrësisht larg IT-së (sidomos nëse jeni larg IT-së!).

Hakerimi argëtues ose mekanikë DDoS

Fenomeni DDoS nuk është uniform. Ky koncept kombinon shumë opsione për veprim që çojnë në një rezultat (mohimi i shërbimit). Le të shohim problemet që mund të na sjellin DDoSers.

Përdorimi i tepërt i burimeve kompjuterike të serverit

Kjo bëhet duke dërguar paketa në një IP specifike, përpunimi i të cilave kërkon një sasi të madhe burimesh. Për shembull, ngarkimi i një faqeje kërkon ekzekutimin e një numri të madh të pyetjeve SQL. Të gjithë sulmuesit do të kërkojnë këtë faqe të saktë, e cila do të shkaktojë mbingarkesë të serverit dhe refuzim të shërbimit për vizitorët normalë, legjitimë të faqes.
Ky është një sulm në nivelin e një nxënësi që kaloi disa mbrëmje duke lexuar revistën Hacker. Ajo nuk është problem. E njëjta URL e kërkuar llogaritet në çast, pas së cilës qasja në të bllokohet në nivelin e serverit të uebit. Dhe kjo është vetëm një zgjidhje.

Mbingarkesa e kanaleve të komunikimit në server (output)

Niveli i vështirësisë së këtij sulmi është pothuajse i njëjtë me atë të mëparshëm. Sulmuesi përcakton faqen më të rëndë në faqe dhe botnet-i nën kontrollin e tij fillon ta kërkojë atë në masë.

Imagjinoni që pjesa e Winnie the Pooh që është e padukshme për ne është pafundësisht e madhe
Në këtë rast, është gjithashtu shumë e lehtë të kuptosh se çfarë saktësisht po bllokon kanalin në dalje dhe të parandalosh hyrjen në këtë faqe. Pyetje të ngjashme mund të shihen lehtësisht duke përdorur shërbimet e veçanta, të cilat ju lejojnë të shikoni ndërfaqen e rrjetit dhe të analizoni trafikun. Pastaj shkruhet një rregull për Firewall-in që bllokon kërkesa të tilla. E gjithë kjo bëhet rregullisht, automatikisht dhe aq rrufe sa Shumica e përdoruesve nuk janë as të vetëdijshëm për ndonjë sulm.

Miti numër tre: "A Sidoqoftë, ata rrallë kalojnë në pritjen time, dhe unë gjithmonë i vërej ato.” Në fakt, 99.9% e sulmeve nuk i shihni apo ndjeni. Por lufta e përditshme me ta - Kjo është puna e përditshme, rutinë e një kompanie pritëse. Ky është realiteti ynë, në të cilin një sulm është i lirë, konkurrenca është jashtë grafikëve dhe jo të gjithë demonstrojnë aftësi dalluese në metodat e luftës për një vend në diell.

Mbingarkesa e kanaleve të komunikimit në server (hyrje)

Kjo tashmë është një detyrë për ata që lexojnë revistën Hacker më shumë se një ditë.

Foto nga faqja e internetit e radios Ekho Moskvy. Nuk gjetëm asgjë më vizuale për të përfaqësuar DDoS me mbingarkesë të kanaleve hyrëse.
Për të mbushur një kanal me trafik në hyrje deri në kapacitet, duhet të keni një botnet, fuqia e të cilit ju lejon të gjeneroni sasinë e kërkuar të trafikut. Por ndoshta ka një mënyrë për të dërguar pak trafik dhe për të marrë shumë?

Ka, dhe jo vetëm një. Ka shumë opsione për përmirësimin e sulmit, por një nga më të njohurat tani është sulm përmes serverëve DNS publik. Ekspertët e quajnë këtë metodë të përforcimit Përforcim DNS(në rast se dikush preferon termat e ekspertëve). Për ta thënë thjesht, imagjinoni një ortek: mjafton një përpjekje e vogël për ta thyer atë, por burimet çnjerëzore janë të mjaftueshme për ta ndaluar atë.

Ju dhe unë e dimë këtë server publik DNS sipas kërkesës, i jep kujtdo informacion për çdo emër domain. Për shembull, ne pyesim një server të tillë: më tregoni për domenin sprinthost.ru. Dhe pa hezituar na tregon gjithçka që di.

Kërkimi i serverit DNS është shumë operacion i thjeshtë. Nuk kushton pothuajse asgjë për të kontaktuar me të, kërkesa do të jetë mikroskopike. Për shembull, si kjo:

Gjithçka që mbetet është të zgjedhësh emri i domenit, informacion për të cilin do të formojë një paketë mbresëlënëse të dhënash. Pra, 35 bajtë origjinale me një lëvizje të dorës kthehen në pothuajse 3700. Ka një rritje prej më shumë se 10 herë.

Por si mund të siguroheni që përgjigja të dërgohet në IP-në e duhur? Si të mashtroni burimin IP të një kërkese në mënyrë që serveri DNS të lëshojë përgjigjet e tij në drejtim të një viktime që nuk ka kërkuar asnjë të dhënë?

Fakti është se serverët DNS funksionojnë sipas Protokolli i komunikimit UDP, e cila nuk kërkon fare konfirmim të burimit të kërkesës. Falsifikimi i një IP dalëse në këtë rast nuk është shumë i vështirë për dozuesin. Kjo është arsyeja pse ky lloj sulmi është kaq i popullarizuar tani.

Gjëja më e rëndësishme është që një botnet shumë i vogël mjafton për të kryer një sulm të tillë. Dhe disa DNS publike të shpërndara që nuk do të shohin asgjë të çuditshme në faktin se përdorues të ndryshëm kohë pas kohe ata kërkojnë të dhëna në adresën e një hosti. Dhe vetëm atëherë i gjithë ky trafik do të shkrihet në një rrjedhë dhe do të ngulfasë fort një "tub".

Ajo që dozuesi nuk mund të dijë është kapaciteti i kanaleve të sulmuesit. Dhe nëse ai nuk e llogarit saktë fuqinë e sulmit të tij dhe nuk e bllokon menjëherë kanalin në server në 100%, sulmi mund të zmbrapset mjaft shpejt dhe lehtë. Përdorimi i shërbimeve si TCPdumpështë e lehtë të zbulosh se çfarë trafiku në hyrje mbërrin nga DNS, dhe në nivelin e Firewall-it parandalojnë pranimin e tij. Ky opsion - refuzimi i pranimit të trafikut nga DNS - shoqërohet me një shqetësim të caktuar për të gjithë, megjithatë, si serverët ashtu edhe faqet në to do të vazhdojnë të funksionojnë me sukses.

Ky është vetëm një opsion nga shumë të mundshme për të përmirësuar një sulm. Ka shumë lloje të tjera sulmesh, për to mund të flasim një herë tjetër. Tani për tani, unë do të doja të përmbledhim se të gjitha sa më sipër janë të vërteta për një sulm, fuqia e të cilit nuk e kalon gjerësinë e kanalit në server.

Nëse sulmi është i fuqishëm

Nëse fuqia e sulmit tejkalon kapacitetin e kanalit në server, ndodh si më poshtë. Kanali i Internetit te serveri bllokohet menjëherë, pastaj në sitin pritës, tek ofruesi i tij i internetit, tek ofruesi i rrjedhës së sipërme, dhe kështu me radhë e me radhë e lart (në afat të gjatë - deri në kufijtë më absurde), për aq sa fuqia e sulmit është e mjaftueshme.

Dhe pastaj bëhet një problem global për të gjithë. Dhe me pak fjalë, kjo ishte ajo me të cilën duhej të merreshim më 20 nëntor 2013. Dhe kur ndodhin trazira në shkallë të gjerë, është koha për të aktivizuar magjinë e veçantë!

Kështu duket magjia speciale Duke përdorur këtë magji, është e mundur të përcaktohet serveri tek i cili drejtohet trafiku dhe të bllokohet IP-ja e tij në nivelin e ofruesit të internetit. Në mënyrë që të ndalojë marrjen e kërkesave për këtë IP përmes kanaleve të tij të komunikimit me botën e jashtme (uplinks). Për adhuruesit e termave: ekspertët e quajnë këtë procedurë "vrima e zezë", nga anglishtja blackhole.

Në këtë rast, serveri i sulmuar me 500-1500 llogari mbetet pa IP-në e tij. Një nënrrjet i ri i adresave IP është ndarë për të, për të cilin rastësisht llogaritë e klientëve shpërndahen në mënyrë të barabartë. Më pas, ekspertët presin që sulmi të përsëritet. Pothuajse gjithmonë përsëritet.

Dhe kur përsëritet, IP-ja e sulmuar nuk ka më 500-1000 llogari, por vetëm një duzinë ose dy.

Rrethi i të dyshuarve po ngushtohet. Këto 10-20 llogari shpërndahen përsëri në adresa IP të ndryshme. Dhe përsëri inxhinierët janë në pritë duke pritur që sulmi të përsëritet. Përsëri dhe përsëri ata shpërndajnë llogaritë e mbetura të dyshimta në IP të ndryshme dhe kështu, duke u afruar gradualisht, përcaktojnë objektivin e sulmit. Të gjitha llogaritë e tjera në këtë pikë kthehen në funksionimin normal në të njëjtën IP.

Siç është e qartë, kjo nuk është një procedurë e menjëhershme, ajo kërkon kohë për t'u zbatuar.

Miti numër katër:“Kur ndodh një sulm në shkallë të gjerë, pritësi im nuk ka një plan veprimi. Ai vetëm pret, me sy mbyllur, që bombardimi të përfundojë dhe u përgjigjet letrave të mia me të njëjtat lloj përgjigjesh.”Kjo nuk është e vërtetë: në rast sulmi, ofruesi i pritjes vepron sipas një plani për ta lokalizuar atë dhe për të eliminuar sa më shpejt pasojat. Dhe letrat e të njëjtit lloj ju lejojnë të përcillni thelbin e asaj që po ndodh dhe në të njëjtën kohë të kurseni burimet e nevojshme për t'u marrë me një situatë emergjente sa më shpejt të jetë e mundur.

A ka dritë në fund të tunelit?

Tani shohim që aktiviteti DDoS po rritet vazhdimisht. Urdhërimi i një sulmi është bërë shumë i arritshëm dhe jashtëzakonisht i lirë. Për të shmangur akuzat për propagandë, nuk do të ketë lidhje provuese. Por mbajeni fjalën tonë, është e vërtetë.

Miti numër pesë: “Një sulm DDoS është një ndërmarrje shumë e shtrenjtë dhe vetëm manjatët e biznesit mund të përballojnë të porosisin një të tillë. Të paktën këto janë makinacionet e shërbimeve sekrete!”. Në fakt, ngjarje të tilla janë bërë jashtëzakonisht të aksesueshme.

Prandaj, nuk mund të pritet që aktiviteti keqdashës të zhduket vetë. Përkundrazi, ajo vetëm do të intensifikohet. Mbetet vetëm për të farkëtuar dhe mprehur armën. Kjo është ajo që ne bëjmë, duke përmirësuar infrastrukturën e rrjetit.

Ana juridike e çështjes

Ky është një aspekt shumë jopopullor i diskutimit të sulmeve DDoS, pasi rrallë dëgjojmë për raste të kapjes dhe ndëshkimit të autorëve. Sidoqoftë, duhet të mbani mend: Një sulm DDoS është një vepër penale. Në shumicën e vendeve të botës, përfshirë Federatën Ruse.

Miti numër gjashtë: « Tani di mjaftueshëm për DDoS, do të porosis një festë për një konkurrent - dhe asgjë nuk do të më ndodhë për këtë!” Është e mundur që të ndodhë. Dhe nëse ndodh, nuk do të duket shumë.

• Fillimi i historisë DDoS sistemi i pagesave Asistojnë
• Fund emocionues

Në përgjithësi, ne nuk këshillojmë askënd që të përfshihet në praktikën vicioze të DDoS, në mënyrë që të mos pësoni zemërimin e drejtësisë dhe të mos prishni karmën tuaj. Dhe ne, për shkak të specifikave të aktiviteteve tona dhe interesit të madh kërkimor, vazhdojmë të studiojmë problemin, të qëndrojmë roje dhe të përmirësojmë strukturat mbrojtëse.

PS:ne nuk kemi mjaft fjalë të mira për të shprehur mirënjohjen tonë, kështu që ne vetëm themi"Faleminderit!" klientëve tanë të durueshëm që na mbështetën ngrohtësisht në një ditë të vështirë më 20 nëntor 2013. Ju thatë shumë fjalë inkurajuese në mbështetjen tonë në