Atacul DoS

DoS ( prescurtare în engleză  Denial of Service "denial of service") - un atac de hacker asupra unui sistem informatic pentru a-l duce la eșec, adică crearea unor astfel de condiții în care utilizatorii conștiincioși ai sistemului nu vor putea accesați resursele de sistem furnizate (servere) sau acest acces va fi dificil. Eșecul sistemului „inamic” poate fi, de asemenea, un pas către stăpânirea sistemului (dacă într-o situație de urgență software-ul oferă informații critice - de exemplu, versiunea, o parte a codului programului etc.). Dar mai des este o măsură a presiunii economice: pierderea unui serviciu simplu care generează venituri, facturi de la furnizor și măsurile de evitare a atacului au lovit semnificativ buzunarul țintei. [unu]În prezent, atacurile DoS și DDoS sunt cele mai populare, deoarece permit aproape oricărui sistem scris prost să eșueze fără a lăsa dovezi legale.

Atacul DoS distribuit

Dacă un atac este efectuat simultan de la un număr mare de computere, se vorbește despre un atac DDoS [2] (din engleză.  Distributed Denial of Service , un atac distribuit de denial of service ). Un astfel de atac este efectuat dacă este necesar pentru a cauza refuzul serviciului unei mari companii sau organizații guvernamentale bine protejate.

În primul rând, atacatorul scanează o rețea mare folosind scripturi special pregătite care identifică noduri potențial slabe. Gazdele selectate sunt atacate și atacatorul câștigă drepturi administrative asupra lor. Troienii sunt instalați pe gazdele capturate și rulează în fundal . [3] Acum aceste computere se numesc computere zombie , utilizatorii lor nici măcar nu bănuiesc că sunt potențiali participanți la un atac DDoS. Apoi, atacatorul trimite anumite comenzi către computerele capturate, iar acestea, la rândul lor, efectuează un atac colectiv DoS asupra computerului țintă.

Există, de asemenea, programe de participare voluntară la atacurile DDoS.

În unele cazuri, o acțiune neintenționată duce la un atac DDoS real, de exemplu, plasarea unui link pe o resursă populară de Internet către un site găzduit pe un server nu foarte productiv ( efectul slash dot ). Un aflux mare de utilizatori duce la depășirea sarcinii permise pe server și, în consecință, la refuzul serviciului pentru unii dintre ei.

Apărare

Pentru a proteja împotriva atacurilor de rețea, sunt utilizate o serie de filtre, conectate la canalul de Internet cu o lățime de bandă mare. Filtrele funcționează în așa fel încât analizează secvențial traficul care trece , dezvăluind activități de rețea non-standard și erori. Tiparele analizate de trafic non-standard includ toate metodele de atac cunoscute în prezent, inclusiv cele implementate folosind rețele botnet distribuite. Filtrele pot fi implementate atât la nivel de routere , switch -uri gestionate , cât și hardware specializat.

Motive pentru utilizarea atacurilor DDoS

Experții în securitatea informațiilor identifică mai multe motive pentru utilizarea atacurilor DDoS. [patru]

Animozitate personală

Acest motiv servește adesea drept pretext pentru atacuri asupra marilor organizații comerciale și guvernamentale și companii. Așadar, în 1999, au fost atacate site-urile web ale FBI, care au fost ulterior inaccesibile timp de câteva săptămâni. Motivul a fost un raid recent al FBI împotriva hackerilor. [5]

Divertisment

În zilele noastre, din ce în ce mai mulți oameni sunt interesați de atacurile DoS și toată lumea vrea să-și încerce mâna la această afacere. Prin urmare, mulți atacatori începători efectuează atacuri DoS pentru distracție. După un atac reușit, ei se uită la amploarea distrugerii lor. [6]

Protestul politic

Cele mai cunoscute atacuri DDoS care vizează protestul politic au fost acțiunile de susținere a Monumentului Soldatului Eliberatorului din Estonia (2007) [7] , Osetia de Sud (2008), Wikileaks (2011), Megaupload (2012) și EX.UA (2012 ). ), precum și împotriva invaziei Ucrainei de către Rusia [8] .

Concurență neloială

Atacurile DDoS pot fi efectuate la ordinul unui concurent fără scrupule .

Estorcare sau șantaj

Atacurile DDoS pot fi efectuate în scopul extorcării sau șantajului , caz în care atacatorul contactează mai întâi proprietarul site-ului.

Clasificarea atacurilor DoS

Este mult mai ușor pentru hackeri să efectueze un atac DoS asupra unui sistem decât să obțină acces deplin la acesta. Există diverse motive pentru care poate apărea o condiție DoS, adică o situație în care utilizatorii nu pot accesa resursele pe care serverul le oferă sau accesul la acestea este semnificativ dificil: [9]

Saturația lățimii de bandă

În prezent, aproape fiecare computer este conectat la Internet sau la o rețea locală. Aceasta este o oportunitate excelentă de a efectua un atac DoS prin depășirea lățimii de bandă. De obicei, atacatorii folosesc un flood ( ing.  flood  - "flood", "overflow") - un atac asociat cu un număr mare de cereri de obicei lipsite de sens sau formatate incorect către un sistem informatic sau un echipament de rețea, care are ca scop sau a dus la o defecțiune a sistemului din - pentru epuizarea resurselor sistemului - procesor, memorie sau canale de comunicare. Există mai multe varietăți de inundații. [zece]

HTTP flood și ping flood

Acesta este cel mai primitiv tip de atac DoS. Saturarea lățimii de bandă se poate face doar cu ping-uri regulate dacă canalul atacatorului este mult mai larg decât canalul computerului victimei. Dar un astfel de atac este inutil împotriva serverului, deoarece acesta din urmă, la rândul său, are o lățime de bandă destul de largă. Un flood HTTP este de obicei folosit pentru a ataca un server. Atacatorul trimite un pachet HTTP mic, dar astfel încât serverul să răspundă la el cu un pachet de sute de ori mai mare. Chiar dacă canalul serverului este de zece ori mai larg decât cel al atacatorului, există totuși șanse mari de a satura lățimea de bandă a victimei. Și pentru a preveni ca pachetele HTTP de răspuns să provoace o refuz de serviciu din partea unui atacator, de fiecare dată acesta își înlocuiește adresa IP cu adresele IP ale nodurilor din rețea. [unsprezece]

Atacul ștrumfului (ICMP flood)

Atacul Smurf sau inundația ICMP  este unul dintre cele mai periculoase tipuri de atacuri DoS, deoarece computerul victimă va experimenta o refuz de serviciu după un astfel de atac cu o garanție de aproape 100%. Un atacator folosește o transmisie pentru a verifica dacă există gazde live pe sistem, trimițând o solicitare ping . Evident, atacatorul singur nu va putea dezactiva computerul victimei, așa că este necesar încă un participant - aceasta este o rețea de amplificare. În el, atacatorul trimite un pachet ICMP fals la adresa de difuzare . Apoi adresa atacatorului este schimbată cu adresa victimei. Toate nodurile îi vor trimite un răspuns la cererea de ping. Prin urmare, un pachet ICMP trimis de un atacator printr-o rețea de amplificare care conține 200 de noduri va fi amplificat cu un factor de 200. Pentru un astfel de atac, se alege de obicei o rețea mare, astfel încât computerul victimă să nu aibă nicio șansă. [12]

Atacul Fraggle (Inundație UDP)

Atacul Fraggle (fragmentation grenade) (din engleză.  Fraggle attack ) este un analog complet al atacului Smurf, în care pachetele UDP sunt folosite în loc de pachetele ICMP , deci este numit și UDP flood. Principiul de funcționare al acestui atac este simplu: comenzile ecou sunt trimise către cel de-al șaptelea port al victimei la o cerere de difuzare. Apoi adresa IP a atacatorului este înlocuită cu adresa IP a victimei, care primește în curând o mulțime de mesaje de răspuns. Numărul lor depinde de numărul de noduri din rețea. Acest atac are ca rezultat saturarea lățimii de bandă și o denegare completă a serviciului victimei. În acest caz, dacă serviciul echo este dezactivat, atunci vor fi generate mesaje ICMP, ceea ce va duce și la saturarea lățimii de bandă. [12]

Atacul SYN flood de pachete (SYN flood)

Înainte de apariția atacului Smurf, un atac de inundații SYN, cunoscut și sub numele de inundații SYN , era larg răspândit . [13] Pentru a descrie funcționarea acestuia, ne putem opri asupra a două sisteme A și B, care doresc să stabilească o conexiune TCP între ele , după care pot face schimb de date între ele. O anumită cantitate de resurse este alocată pentru a stabili o conexiune, iar atacurile DoS folosesc acest lucru. Prin trimiterea mai multor cereri false, puteți utiliza toate resursele de sistem alocate pentru stabilirea unei conexiuni. [14] Să aruncăm o privire mai atentă la cum se întâmplă acest lucru. Un hacker din sistemul A trimite un pachet SYN către sistemul B, dar după ce și-a schimbat adresa IP cu una inexistentă. Apoi, fără să știe, Computerul B trimite un răspuns SYN/ACK la o adresă IP inexistentă și intră în starea SYN-RECEIVED. Deoarece mesajul SYN/ACK nu ajunge la sistemul A, computerul B nu va primi niciodată un pachet cu steag ACK. [15] [16] Această conexiune potențială va fi pusă în coadă. Va ieși din coadă abia după 75 de secunde. [17] Atacatorii folosesc acest lucru pentru a trimite mai multe pachete SYN la computerul victimei simultan, cu un interval de 10 secunde, pentru a epuiza complet resursele sistemului. Determinarea sursei unui atac este foarte dificilă, deoarece atacatorul schimbă constant adresa IP sursă. [optsprezece]

Lipsa resurselor

Atacatorii folosesc acest tip de atac DoS pentru a captura resurse de sistem, cum ar fi RAM și memoria fizică, timpul procesorului și altele. De obicei, astfel de atacuri sunt efectuate ținând cont de faptul că hackerul are deja o anumită cantitate de resurse de sistem. Scopul atacului este de a capta resurse suplimentare. Pentru a face acest lucru, nu este necesar să saturați lățimea de bandă, ci pur și simplu să supraîncărcați procesorul victimei, adică să luați tot timpul permis de procesor. [19]

Trimiterea cererilor „grele”

Atacatorul trimite pachete către server care nu saturează lățimea de bandă (canalul este de obicei destul de larg), dar își pierd tot timpul CPU. Procesorul serverului, atunci când le procesează, poate să nu poată face față calculelor complexe. Din această cauză, va apărea o eroare, iar utilizatorii nu vor putea accesa resursele necesare.

Server plin de fișiere jurnal

Fișierele jurnal ale serverului sunt fișiere care înregistrează acțiunile utilizatorilor de rețea sau program. Un administrator necalificat poate configura greșit sistemul de pe serverul său fără a stabili o anumită limită. Hackerul va profita de această eroare și va trimite pachete mari care vor ocupa în curând tot spațiul liber de pe hard disk-ul serverului. Dar acest atac va funcționa numai în cazul unui administrator fără experiență, cei calificați stochează fișierele jurnal pe o unitate de sistem separată. [unsprezece]

Sistem de cote prost

Unele servere au un așa-numit program CGI care leagă un program extern la serverul Web. Dacă un hacker obține acces la CGI, el poate scrie un script ( eng.  scripting language ), care utilizează o mulțime de resurse de server, cum ar fi RAM și timpul procesorului. De exemplu, un script CGI poate implica bucla prin crearea de matrice mari sau calculul de formule matematice complexe. În acest caz, procesorul central poate accesa un astfel de script de câteva mii de ori. De aici concluzia: dacă sistemul de cote este configurat incorect, atunci un astfel de script va elimina toate resursele de sistem de pe server într-un timp scurt. Desigur, calea de ieșire din această situație este evidentă - pentru a stabili o anumită limită pentru accesul la memorie, dar în acest caz, procesul de script, după ce a atins această limită, va aștepta până când va descărca toate datele vechi din memorie. Prin urmare, utilizatorii se vor confrunta cu o lipsă de resurse de sistem. [douăzeci]

Validarea insuficientă a datelor utilizatorului

Validarea insuficientă a datelor utilizatorului duce, de asemenea, la un ciclu infinit sau lung sau la un consum crescut pe termen lung al resurselor procesorului (până la epuizarea resurselor procesorului) sau alocarea unei cantități mari de RAM (până la epuizarea memoriei disponibile). [paisprezece]

Atacul de al doilea fel

Acesta este un atac care urmărește să declanșeze în mod fals un sistem de securitate și astfel să facă o resursă indisponibilă.

Erori de programare

Atacatorii profesioniști DoS nu folosesc o metodă de atac atât de primitivă precum saturarea lățimii de bandă. După ce au înțeles pe deplin structura sistemului victimei, ei scriu programe ( exploatări ) care ajută la atacarea sistemelor complexe ale întreprinderilor sau organizațiilor comerciale. Cel mai adesea, acestea sunt erori în codul programului , care duc la accesul la un fragment neutilizat al spațiului de adrese, la executarea unei instrucțiuni nevalide sau la altă excepție netratată atunci când programul server se blochează - programul server. Un exemplu clasic este adresarea adresei zero ( eng.  null ). [21]

Puncte slabe în codul programului

Gestionarea excepțiilor a fost întotdeauna o durere de cap pentru dezvoltatorii de sisteme de operare. Atacatorii caută erori în codul de program al unui program sau al unui sistem de operare, forțându-l să gestioneze excepțiile pe care nu le poate gestiona. Acest lucru duce la erori. Un exemplu simplu este transmiterea frecventă a pachetelor, care nu respectă specificațiile și standardele documentelor RFC . [22] Atacatorii urmăresc pentru a vedea dacă stiva de rețea poate gestiona excepții. Dacă nu, atunci transmiterea unor astfel de pachete va duce la o panică a nucleului ( kernel panic ) sau chiar la prăbușirea întregului sistem ca întreg. [23]

Această clasă include eroarea Ping al morții , comună în anii 1990. RFC 791 IPv4 IPv4 lungimea pachetului nu poate depăși 65.535 de octeți; un pachet ICMP mai mare este trimis către computerul victimei , împărțit anterior în părți; victima are un buffer overflow dintr-un astfel de pachet . Un alt bug al acelor vremuri este WinNuke ( Windows 95 nu a gestionat corect bitul rar al pachetului URG TCP).

Buffer overflow

O depășire a tamponului are loc atunci când un program scrie date în afara tamponului din cauza unei erori a programatorului. Să presupunem că un programator a scris o aplicație pentru schimbul de date printr-o rețea care funcționează pe un anumit protocol. Acest protocol prevede strict că un anumit câmp al unui pachet poate conține maximum 65536 octeți de date. Dar, după testarea aplicației, s-a dovedit că în partea sa client nu este nevoie să puneți date în acest câmp care este mai mare de 255 de octeți. Prin urmare, partea de server nu va accepta mai mult de 255 de octeți. Apoi, atacatorul schimbă codul aplicației, astfel încât acum partea client să trimită toți cei 65536 de octeți permisi de protocol, dar serverul nu este pregătit să-i primească. Acest lucru cauzează o depășire a memoriei tampon și împiedică utilizatorii să acceseze aplicația. [unsprezece]

Atacuri de rutare și DNS

Toate atacurile asupra serverelor DNS pot fi împărțite în două tipuri: [24]

Atacurile DoS asupra vulnerabilităților software din serverele DNS

Se mai numesc și atacuri cache. În timpul acestui atac, atacatorul înlocuiește adresa IP a serverului DNS al domeniului victimei. După aceea, atunci când solicită o pagină HTML, persoana atacată fie cade într-o „gaură neagră” (dacă adresa IP a fost înlocuită cu una inexistentă), fie merge direct pe serverul atacatorului. Al doilea caz este mai deplorabil, deoarece un atacator poate obține cu ușurință acces la datele personale ale unei victime nebănuitoare. Să ne uităm la un exemplu despre cum se întâmplă acest lucru. Să presupunem că un client dorește să acceseze site-ul Web Microsoft.com. Dar folosind o vulnerabilitate a serverului DNS al companiei, atacatorul a schimbat adresa IP a gazdei microsoft.com cu adresa sa. Acum victima este redirecționată automat către nodul atacatorului.

Atacurile DDoS asupra serverelor DNS

În continuare, vom vorbi despre atacurile DDoS, deoarece participarea serverelor DNS implică întotdeauna prezența unui număr mare de computere. Atacurile asupra serverelor DNS sunt cele mai frecvente atacuri, ducând la o refuz de serviciu pentru un server DNS, atât prin saturarea lățimii de bandă, cât și prin preluarea resurselor sistemului. Dar un astfel de atac necesită un număr mare de calculatoare zombie . După implementarea sa cu succes, utilizatorii nu pot ajunge la pagina de care au nevoie pe Internet, deoarece serverul DNS nu poate rezolva numele de domeniu în adresa IP a site-ului. Dar, în prezent, atacurile asupra serverelor DNS care utilizează un număr mare de computere zombie (un astfel de sistem se numește „ botnet ”) sunt mai puțin relevante, deoarece ISP-urile observă cu ușurință o cantitate mare de trafic de ieșire și îl blochează. Malefactorii se descurcă acum cu botnet-uri mici sau nu le folosesc deloc. Ideea principală este că hackerii folosesc servere DNS [26] bazate pe tehnologia DNSSEC . [27] Puterea de atac crește datorită creșterii reflecțiilor interogărilor DNS. În mod ideal, serverele DNS ale unui anumit furnizor ar trebui să proceseze doar cererile care le vin de la utilizatorii acestui furnizor, dar acest lucru este departe de realitate. Există o mulțime de servere configurate greșit în întreaga lume care pot accepta o solicitare de la orice utilizator de pe Internet. Angajații CloudFlare susțin că în prezent există peste 68 de mii de servere DNS configurate incorect pe Internet, peste 800 dintre ele fiind în Rusia. [28] Aceste servere DNS sunt folosite pentru atacuri DDoS. Ideea de bază este că aproape toate interogările DNS sunt trimise prin UDP, unde este relativ ușor să schimbați adresa de retur la adresa victimei. Prin urmare, prin servere DNS configurate incorect, atacatorul trimite o astfel de solicitare, astfel încât răspunsul la aceasta să fie cât mai mare posibil în volum (de exemplu, poate fi o listă cu toate intrările din tabelul DNS), în care IP-ul invers adresa este înlocuită cu adresa IP a victimei. De regulă, serverele furnizorilor au o lățime de bandă destul de mare, așa că nu este dificil să creezi un atac de câteva zeci de Gb/s. [29]

Lista sistemelor autonome cu cel mai mare număr de servere DNS configurate greșit începând cu 10.11.2013. [28]

Numărul de servere DNS Nume sistem autonom Locație
2108 BELPAK-AS Întreprinderea Republicană Unitară de Telecomunicații Be Bielorusia
1668 Grupul de afaceri HINET de comunicare de date
1596 OCN NTT Communications Corporation
1455 TELEFONICA CHILE SA Chile
1402 KIXS-AS-KR Korea Telecom Coreea
965 Telefonica Argentina Argentina
894 Informații ERX-TANET-ASN1 Rețeaua academică Tiawan (TANet) C Taiwan
827 KDDI KDDI CORPORATION
770 Compa Dominicana de Telefonos, C. por A. — CODETEL
723 CHINANET-BACKBONE Nr.31, strada Jin-rong China
647 LGDACOM LG DACOM Corporation
606 UUNET - MCI Communications Services, Inc. d/b/a Verizon Busi
604 TELKOMNET-AS2-AP PT Telekomunikasi Indonesia Indonezia
601 COLOMBIA TELECOMUNICACIONES SA ESP Columbia

Detectarea atacurilor DoS/DDoS

Există opinia că instrumentele speciale pentru detectarea atacurilor DoS nu sunt necesare, deoarece faptul unui atac DoS nu poate fi trecut cu vederea. În multe cazuri, acest lucru este adevărat. Cu toate acestea, au fost observate destul de des atacuri DoS de succes, care au fost observate de victime abia după 2-3 zile. S-a întâmplat ca consecințele negative ale unui atac (atac de inundații ) să ducă la costuri excesive pentru plata traficului de internet în exces, care a devenit clar doar la primirea unei facturi de la un furnizor de internet. În plus, multe metode de detectare a intruziunilor sunt ineficiente în apropierea țintei atacului, dar sunt eficiente pe coloana vertebrală a rețelei. În acest caz, este indicat să instalați sisteme de detectare exact acolo și să nu așteptați până când utilizatorul care a fost atacat îl observă el însuși și cere ajutor. În plus, pentru a contracara în mod eficient atacurile DoS, este necesar să cunoașteți tipul, natura și alte caracteristici ale atacurilor DoS, iar serviciile de securitate vă permit să obțineți rapid aceste informații. Ele ajută la efectuarea unor setări de sistem. Dar pentru a determina dacă acest atac a fost făcut de un atacator sau refuzul serviciului a fost rezultatul unui eveniment anormal, ei nu pot. În conformitate cu regulile politicii de securitate, dacă este detectat un atac DoS sau DDoS, acesta va trebui să fie înregistrat pentru un audit suplimentar. Odată ce un atac a fost detectat, este posibil ca serviciile de securitate să fie obligate să facă unele ajustări sistemului și să-l readucă la nivelul său anterior de funcționare. De asemenea, serviciile care nu au legătură cu securitatea pot fi folosite pentru a detecta un atac DDoS, de exemplu, redirecționarea traficului prin alte canale de comunicare, pornirea serverelor de rezervă pentru a copia informații. Astfel, mijloacele de detectare și prevenire a atacurilor DDoS pot varia foarte mult în funcție de tipul de sistem care este protejat. [treizeci]

Metodele de detectare a atacurilor DoS pot fi împărțite în mai multe grupuri mari:

  • semnătură – pe baza unei analize calitative a traficului.
  • statistic – bazat pe o analiză cantitativă a traficului.
  • hibrid (combinat) - combinând avantajele ambelor metode de mai sus.

Atacuri DDoS notorii

De exemplu, în 2012 au avut loc mai multe atacuri DDoS la scară largă asupra serverelor DNS. Prima dintre ele a fost planificată pentru 31 martie, dar nu a avut loc niciodată. Scopul atacatorilor din grupul Anonymous [32] a fost de a duce la eșec întreaga rețea globală de internet. Au vrut să facă acest lucru cu un atac DDoS pe 13 servere DNS rădăcină [33] . Atacatorii au lansat un utilitar special Ramp , care era menit să combine servere DNS mai mici și furnizori de Internet . Cu ajutorul lor, s-a planificat dezactivarea rețelei globale.

Exact același atac a fost comis în noiembrie 2002. Este încă considerat cel mai global atac DDoS pe serverele DNS, deoarece, ca urmare, atacatorii au putut să dezactiveze 7 servere rădăcină. Următorul atac a avut loc în august împotriva AT&T , cea mai mare companie americană de telecomunicații. Drept urmare, după atacul, care a durat 8 ore, serverele DNS ale companiei au eșuat. De ceva timp, utilizatorii nu au putut accesa nu numai site-ul AT&T, ci și site-uri comerciale din rețeaua sa.

Un alt atac a avut loc pe 10 noiembrie 2012 împotriva lui Go Daddy , care este cel mai mare furnizor de găzduire din lume. Consecințele atacului au fost devastatoare: nu doar domeniul www.godaddy.com în sine a fost afectat, ci și peste 33 de milioane de domenii de internet care au fost înregistrate de companie. [34]

Mult mai devreme, pe 22 august 2003, infractorii cibernetici au folosit virusul Mydoom pentru a dezactiva site-ul web al SCO , o companie de software de sistem. Timp de 3 zile întregi, utilizatorii nu au putut ajunge pe site-ul companiei. [35]

Pe 15 septembrie 2012, un atac masiv DDoS de 65 Gbps a lovit CloudFlare , o rețea de livrare de conținut dedicată găzduirii partajate. Serverele acestei companii sunt situate în toată lumea. [29] Acest lucru ajută utilizatorul să încarce o pagină de pe Internet de pe cel mai apropiat server CloudFlare (din punct de vedere geografic) mult mai rapid. Anterior, această companie a rezistat atacurilor DDoS cu o capacitate de câteva zeci de Gb/s, dar nu a putut face față unui atac de 65 Gb/s. Acest vârf a avut loc sâmbătă, 15 septembrie, la ora 13:00. Angajații care lucrau la CloudFlare în acel moment erau foști hackeri care erau interesați să afle exact ce metodă a fost efectuată acest atac DDoS și cum au reușit atacatorii să-l efectueze cu o asemenea putere. S-a dovedit că un astfel de atac ar necesita 65.000 de roboți care creează un trafic de 1 Mbps fiecare. Dar acest lucru nu este posibil, deoarece ISP-urile pot detecta și bloca cu ușurință o cantitate atât de mare de trafic. În același timp, închirierea unei rețele botne mari este foarte costisitoare. Prin urmare, s-a dovedit că pentru un astfel de atac a fost folosită metoda de multiplicare a interogărilor DNS prin servere DNS deschise.

Aproximativ șase luni mai târziu, pe 18 martie, potrivit The New York Times , a început cel mai mare atac DDoS din istorie, victima căruia a fost Spamhaus , o companie implicată în includerea pe lista neagră a surselor de spam . [36] Motivul atacului a fost faptul că Spamhaus a pus pe lista neagră furnizorul olandez de gazdă CyberBunker pentru trimiterea de spam . Al doilea și-a exprimat nemulțumirea cu ajutorul unui atac DDoS cu o putere de vârf de 300 Gb/s prin servere DNS deschise. Pe 19 martie, puterea a ajuns la 90 Gb/s, schimbându-și valoarea de la 30 Gb/s. [37] După aceea, a fost o pauză, dar nu a durat mult și atacul a reluat cu o vigoare reînnoită, iar pe 22 martie capacitatea sa a ajuns la 120 Gb/s. Pentru a respinge atacul, CloudFlare a distribuit traficul între centrele sale de date , după care Cyberbunker și-a dat seama că nu poate „oprima” CloudFlare și a început un nou val de atacuri asupra colegilor săi din amonte . Unele dintre pachete au fost filtrate la nivelul Tier2, restul traficului a ajuns la nivelul Tier1, unde puterea a atins maximul de 300 Gb/s. În acel moment, milioane de internauți au simțit toată puterea acestui atac, unele site-uri fiind încetinite de aceștia. Până la urmă, furnizorii au rezistat acestui atac, dar în Europa s-a înregistrat o ușoară creștere a ping-ului la accesarea diferitelor site-uri. De exemplu, în centrul de schimb de trafic LINX din Londra pe 23 martie, din cauza unui atac, rata de schimb de date a scăzut cu mai mult de jumătate. Viteza medie de 1,2 Tbps a scăzut la 0,40 Tbps. [38]

Protecție DDoS

Citat

Doar atacurile amatorilor vizează mașinile. Atacurile profesionale vizează oamenii.

B. Schneier [39]

În prezent, este imposibil să te protejezi complet de atacurile DDoS, deoarece sistemele absolut fiabile nu există. Factorul uman joacă și el un rol important aici, deoarece orice greșeală a unui administrator de sistem care a configurat incorect routerul poate duce la consecințe foarte dezastruoase. Cu toate acestea, în ciuda tuturor acestor lucruri, în acest moment există o mulțime de instrumente de protecție hardware și software și metode organizaționale de confruntare.

Măsurile de combatere a atacurilor DDoS pot fi împărțite în pasive și active, precum și preventive și reactive. Mai jos este o listă scurtă a principalelor metode.

  • Prevenirea. Prevenirea motivelor care încurajează anumite persoane să organizeze și să întreprindă atacuri DDoS. (Foarte des, atacurile cibernetice în general sunt rezultatul nemulțumirilor personale, a neînțelegerilor politice, religioase și de altă natură, a comportamentului provocator al victimei etc.). Este necesar să se elimine din timp cauzele atacurilor DDoS, iar apoi să se tragă concluzii pentru a evita astfel de atacuri pe viitor.
  • măsuri de răspuns. Aplicând măsuri tehnice și legale, este necesar să se influențeze cât mai activ sursa și organizatorul atacului DDoS. În prezent, există chiar și firme speciale care ajută la găsirea nu numai a persoanei care a comis atacul, ci chiar și a organizatorului însuși.
  • Software. Pe piața de software și hardware modern, există unul care poate proteja întreprinderile mici și mijlocii de atacurile slabe DDoS. Aceste instrumente sunt de obicei un server mic.
  • Filtrare și blackholing. Blocarea traficului împotriva mașinilor atacate. Eficacitatea acestor metode scade pe măsură ce te apropii de obiectul atacului și crește pe măsură ce te apropii de mașina atacantă. În acest caz, filtrarea poate fi de două tipuri: utilizarea de firewall-uri și ACL -uri . Utilizarea firewall-urilor blochează un anumit flux de trafic, dar nu vă permite să separați traficul „bun” de cel „rău”. ACL-urile filtrează protocoalele minore și nu afectează protocoalele TCP. Acest lucru nu încetinește serverul, dar este inutil dacă atacatorul folosește solicitări prioritare. [40]
  • Reverse DDOS  - redirecționarea traficului utilizat pentru atac către atacator. Cu o putere suficientă a serverului atacat, permite nu numai respingerea cu succes a atacului, ci și dezactivarea serverului atacator.
  • Eliminarea vulnerabilităților. Nu funcționează împotriva atacurilor de inundații , pentru care „ vulnerabilitatea ” este caracterul finit al anumitor resurse ale sistemului. Această măsură are ca scop eliminarea erorilor din sisteme și servicii.
  • Creșterea resurselor. Desigur, nu oferă protecție absolută, dar este un fundal bun pentru aplicarea altor tipuri de protecție împotriva atacurilor DDoS.
  • Dispersare. Construirea de sisteme distribuite și duplicate care nu vor înceta să servească utilizatorii, chiar dacă unele dintre elementele acestora devin indisponibile din cauza unui atac DoS.
  • Evaziune. Mutarea țintei imediate a atacului ( numele de domeniu sau adresa IP ) de alte resurse care sunt adesea afectate împreună cu ținta imediată a atacului.
  • Răspuns activ. Impactul asupra surselor, organizatorului sau centrului de control al atacului, atât prin mijloace artificiale, cât și organizatorice și legale.
  • Utilizarea echipamentelor pentru a respinge atacurile DDoS. De exemplu, DefensePro® ( Radware ), SecureSphere® ( Imperva ), Perimeter ( MFI Soft ), Arbor Peakflow®, Riorey, Impletec iCore și alți producători. Dispozitivele sunt instalate în fața serverelor și a routerelor, filtrând traficul de intrare.
  • Achiziția unui serviciu de protecție DDoS. Actual în cazul depășirii lățimii de bandă a canalului de rețea de către inundație.

Google este, de asemenea, gata să-și ofere resursele pentru a afișa conținutul site-ului dvs. dacă site-ul este supus unui atac DDoS. În acest moment, serviciul Project Shield este în stadiu de testare, dar unele site-uri pot fi acceptate acolo [41] . Scopul proiectului este de a proteja libertatea de exprimare.

Statistici

Experții Kaspersky Lab au efectuat un studiu și au descoperit că, în 2015, fiecare a șasea companie rusă a fost supusă unui atac DDoS. Potrivit experților, în cursul anului au avut loc aproximativ 120.000 de atacuri care au fost îndreptate către 68.000 de resurse din întreaga lume. În Rusia, infractorii cibernetici au ales cel mai adesea întreprinderile mari drept ținte - 20% din cazuri, întreprinderile mijlocii și mici - 17%. Atacurile DDoS au avut ca scop crearea de probleme în activitatea paginii principale a site-ului companiei (55% din atacuri), dezactivarea serviciilor de comunicare și mail (34%), funcții care permit utilizatorului să se autentifice în sistem (23%) . Experții au mai descoperit că 18% dintre atacurile DDoS au fost înregistrate pe servere de fișiere și 12% pe servicii de tranzacții financiare. Rusia ocupă locul cinci în lume în ceea ce privește numărul de atacuri DDoS pe site-urile sale web. Cele mai multe infracțiuni cibernetice sunt comise în China, SUA, Coreea și Canada. Cu toate acestea, atacurile sunt cel mai adesea efectuate de hackeri chinezi și ruși [42] .

Vezi și

Note

  1. Internet Denial of Service, 2004 .
  2. Atacuri cu refuzul serviciului, 2004 .
  3. Viruși de computer în interior și în exterior, 2006 .
  4. Tutorial ilustrat despre securitatea Internetului, 2004 , p. 2.
  5. Criptografie practică, 2005 .
  6. Filosofia lui Anonim, 2013 .
  7. Lenta.ru: Media: Hackerii atacă site-urile guvernamentale ale Estoniei . Consultat la 28 februarie 2014. Arhivat din original pe 3 mai 2007.
  8. Sistemul de apărare cibernetică voluntară al Ucrainei a creat un program de ajutor în lupta împotriva războiului informațional... . Preluat la 11 martie 2022. Arhivat din original la 1 martie 2022.
  9. Tutorial ilustrat despre securitatea Internetului, 2004 , p. 3.
  10. Tutorial ilustrat despre securitatea Internetului, 2004 , p. patru.
  11. 1 2 3 Hacker, 2003 .
  12. 1 2 Tutorial ilustrat despre securitatea Internetului, 2004 , p. opt.
  13. RFC 4987, 2007 .
  14. 12 Probleme de securitate în suita de protocol TCP/IP, 1989 .
  15. „Proiectul Neptun”, 07.1996 .
  16. A Weakness in the 4.2BSD Unix TCP/IP Software, 1985 .
  17. IP-spooling Demystified, 1996 .
  18. Tutorial ilustrat despre securitatea Internetului, 2004 , p. 9.
  19. Tutorial ilustrat despre securitatea Internetului, 2004 , p. 5.
  20. Hacker, 2005 .
  21. Tutorial ilustrat despre securitatea Internetului, 2004 , p. 6.
  22. Documente RFC, 2004 .
  23. Analiza breșelor tipice de securitate în rețele, 2001 .
  24. Tutorial ilustrat despre securitatea Internetului, 2004 , p. 7.
  25. CloudFlare, 30.10.2012 .
  26. DNS, 1987 .
  27. DNSSEC, 2010 .
  28. 1 2 Hacker, 31.10.2012 .
  29. 1 2 Hacker, 18.09.2012 .
  30. Securitatea informațională a sistemelor deschise, 2012 , p. 39.
  31. Hacker, 28.04.2013 .
  32. Server IRC anonim, 2011 .
  33. Server de nume rădăcină, 2013 .
  34. Se prăbușește serverele DNS GoDaddy, 11.09.2012 .
  35. MyDoom este cel mai scump program malware al deceniului, 26.01.2011 .
  36. Cum sa desfășurat atacul cibernetic asupra Spamhaus, 2013 .
  37. The DDoS That Almost Broke the Internet, 2013 .
  38. Atac DDoS de 300 Gbps, 27.03.2013 .
  39. Atacuri semantice: al treilea val de atacuri de rețea . Consultat la 6 decembrie 2013. Arhivat din original la 30 octombrie 2013.
  40. ^ DDoS Mitigation via Regional Cleaning Centers, 2011 .
  41. Protecție DDoS cu Project Shield . Data accesului: 28 iunie 2015. Arhivat din original la 1 iulie 2015.
  42. TASS: Economie și afaceri - Kaspersky Lab: fiecare a șasea companie din Federația Rusă în 2015 a fost supusă unui atac DDoS . Data accesului: 27 ianuarie 2016. Arhivat din original la 28 ianuarie 2016.

Literatură

Link -uri