Die Türkei wurde einem massiven DDoS-Angriff ausgesetzt. DOS- und DDoS-Angriffe: Konzept, Arten, Erkennungsmethoden und Schutz gegen wen und zu welchem ​​Zweck DDoS-Angriffe gestartet werden

Das FSB ermittelt in einem Strafverfahren wegen eines massiven Hackerangriffs mit dem Internet der Dinge (IoT) auf Objekte des Finanzsektors im Herbst 2016, bei denen es sich um Sberbank, Rosbank, Alfa-Bank, Bank of . handelte Moskau, Moskauer Börse und andere ...

Darüber sprach laut Kommersant der stellvertretende Direktor des FSB Dmitry Shalkov, als er in der Staatsduma anlässlich der Präsentation eines Gesetzespakets der Regierung zur Sicherheit der kritischen Informationsinfrastruktur (CII) der Russischen Föderation sprach.

Im Jahr 2016 wurden rund 70 Millionen DDoS-Angriffe auf offizielle russische Informationsressourcen registriert, das sind dreimal mehr als ein Jahr zuvor. Die Hackerangriffe im November unterscheiden sich jedoch von den meisten von ihnen, bemerkte Shalkov.

Vom 8. bis 14. November seien mittelgroße DDoS-Angriffe auf acht Organisationen durchgeführt worden, sagte er. Dabei handelte es sich um sogenannte Botnets (Computer mit Internetzugang, die von Hackern gehackt und unter Kontrolle gebracht wurden), die mit dem Netzwerk verbundene IoT-Geräte, insbesondere Webcams, nutzten. Der stellvertretende Direktor des FSB stellte die Ähnlichkeit des koordinierten Angriffs auf russische Strukturen mit dem sechsstündigen Oktober-Angriff in den USA auf die Dienste des Internetanbieters Dyn fest, wodurch eine Reihe großer amerikanischer Ressourcen (Twitter, CNN, Spotify, The New York Times und Reddit) waren lange Zeit nicht erreichbar.

Gleichzeitig gingen die Angriffe nicht mit Gelddiebstählen einher, und die angegriffenen Banken verzeichneten keine Störung des Dienstes. Solche Vorfälle seien nach den Anschlägen im November nicht mehr aufgetreten, teilte die russische Zentralbank mit.

Kommersant weist darauf hin, dass DDoS-Angriffe allein nicht darauf abzielen, Finanzen zu stehlen, sondern in der Regel dazu verwendet werden, Websites und Online-Banking-Dienste zu blockieren. Gleb Cherbov, stellvertretender Leiter der Sicherheitsprüfungsabteilung bei Digital Security, erklärte, dass "von Cyberkriminellen kontrollierte Geräte und Server zu Botnets kombiniert werden, um Netzwerkverkehr zu erzeugen, der für das angegriffene System tödlich ist." Allerdings können massive DDoS-Angriffe bei Banken schwere Verluste verursachen. Zum Beispiel kann die Unzugänglichkeit von Diensten bei Einlegern Panik auslösen, die beginnen, Einlagen massenhaft abzuheben. Darüber hinaus werden massive DDoS-Angriffe häufig verwendet, um andere Aktivitäten zu verschleiern. Während Sicherheitsexperten die Schwachstelle beseitigen, können Angreifer insbesondere in die Bankeninfrastruktur eindringen.

Mit der Einleitung eines Strafverfahrens des FSB wegen Hackerangriffen im November 2016 seien die Verdächtigen laut der Zeitung bereits durch die Ermittlungen identifiziert worden. Die Untersuchung dauert in solchen Fällen mindestens sechs Monate, in Wirklichkeit verlängert sich die Frist jedoch um zwei oder drei Jahre, so die Quelle der Veröffentlichung.

Die instabile wirtschaftliche Lage der letzten zwei Jahre hat zu einer deutlichen Zunahme des Wettbewerbs auf dem Markt geführt, wodurch die Popularität von DDoS-Angriffen – einer effektiven Methode, um wirtschaftlichen Schaden zu verursachen – zugenommen hat.

Im Jahr 2016 stieg die Zahl der kommerziellen Aufträge zur Organisation von DDoS-Angriffen um ein Vielfaches. Massive DDoS-Angriffe sind aus dem Bereich des gezielten politischen Drucks, wie es beispielsweise 2014 der Fall war, in das Massengeschäft gewandert. Die Hauptaufgabe von Cyberkriminellen besteht darin, die Ressource möglichst schnell und mit minimalem Aufwand unzugänglich zu machen, um dafür Geld von Wettbewerbern zu bekommen, sich Bedingungen für Erpressung zu verschaffen etc. DDoS-Angriffe werden immer aktiver eingesetzt, was regt die Suche nach immer größeren Mitteln zum Schutz von Unternehmen an.

Gleichzeitig nimmt die Zahl der Angriffe trotz beachtlicher Erfolge im Kampf gegen DDoS weiter zu. Laut Qrator Labs haben DDoS-Angriffe im Jahr 2015 um 100 % zugenommen. Und es ist nicht verwunderlich, denn ihre Kosten sind auf etwa 5 US-Dollar pro Stunde gesunken und die Tools für ihre Implementierung sind auf dem massiven Schwarzmarkt angekommen. Hier sind einige der wichtigsten Trends bei verteilten Denial-of-Service-Angriffen, die für die nächsten Jahre prognostiziert werden.

UDP-Verstärkungsangriffe

Zu den Angriffen, die die Kanalkapazität erschöpfen sollen, gehört die UDP-Verstärkung. Solche Vorfälle waren 2014 am häufigsten und wurden 2015 zu einem leuchtenden Trend. Ihre Zahl hat jedoch bereits ihren Höhepunkt erreicht und nimmt allmählich ab – die Ressourcen für die Durchführung solcher Angriffe sind nicht nur endlich, sondern auch stark rückläufig.

Ein Verstärker ist ein öffentlicher UDP-Dienst, der ohne Authentifizierung funktioniert und auf eine kleine Anfrage eine viel größere Antwort senden kann. Der Angreifer ersetzt durch das Senden solcher Anfragen seine IP-Adresse durch die IP-Adresse des Opfers. Infolgedessen wird der Rückverkehr, der die Kanalbandbreite des Angreifers bei weitem übersteigt, an die Webressource des Opfers umgeleitet. DNS, NTP, SSDP und andere Server werden verwendet, um unwissentlich an Angriffen teilzunehmen.

Angriffe auf L7-Webanwendungen

Im Zusammenhang mit der Reduzierung der Verstärkeranzahl rückt die Organisation von Angriffen auf Webanwendungen auf L7-Ebene mittels klassischer Botnets wieder in den Vordergrund. Wie Sie wissen, ist ein Botnet in der Lage, über Remote-Befehle Netzwerkangriffe durchzuführen, und die Besitzer infizierter Computer wissen dies möglicherweise nicht einmal. Als Folge der Überlastung des Dienstes mit "Müll"-Anfragen bleiben Anfragen von legitimen Benutzern im Allgemeinen unbeantwortet oder es wird eine unangemessen lange Zeit für Antworten benötigt.

Botnets werden heute immer intelligenter. Bei der Organisation der entsprechenden Angriffe wird die Full-Browser-Stack-Technologie unterstützt, also die vollständige Emulation des Computers, des Browsers und der Java-Script-Entwicklung des Benutzers. Techniken wie diese eignen sich hervorragend zum Tarnen von L7-Angriffen. Es ist fast unmöglich, einen Bot manuell von einem Benutzer zu unterscheiden. Dies erfordert Systeme, die Machine-Learning-Technologie verwenden, wodurch die Widerstandsfähigkeit gegen Angriffe erhöht, Mechanismen verbessert und die Testgenauigkeit erhöht werden.

BGP-Probleme

Im Jahr 2016 zeichnete sich ein neuer Trend ab – Angriffe auf die Netzwerkinfrastruktur, einschließlich solcher, die auf der Ausnutzung von Schwachstellen im BGP-Protokoll basieren. Die Probleme des BGP-Routing-Protokolls, auf dem das gesamte Internet basiert, sind seit einigen Jahren bekannt, haben aber in den letzten Jahren zunehmend zu gravierenden negativen Folgen geführt.

Netzwerkanomalien, die mit dem Routing auf der Netzwerkebene zwischen Domänen verbunden sind, können eine große Anzahl von Hosts, Netzwerken und sogar die globale Konnektivität und Verfügbarkeit des Internets beeinträchtigen. Die häufigste Art von Problem sind Route Leaks - ein "Leak" einer Route, das aufgrund ihrer Werbung in die falsche Richtung auftritt. Bisher werden BGP-Schwachstellen selten bewusst genutzt: Der Aufwand für die Organisation eines solchen Angriffs ist recht hoch, und Vorfälle entstehen hauptsächlich durch banale Fehler in den Netzwerkeinstellungen.

In den letzten Jahren ist die Größe der organisierten kriminellen Gruppen im Internet jedoch erheblich gewachsen, daher werden nach der Prognose von Qrator Labs in absehbarer Zeit Angriffe im Zusammenhang mit BGP-Problemen populär werden. Ein markantes Beispiel ist die auf staatliche Anordnung durchgeführte Entführung von IP-Adressen durch die bekannte Cyber-Gruppe Hacking Team: Die italienische Polizei musste die Kontrolle über mehrere Computer übernehmen, gegen deren Besitzer Ermittlungen eingeleitet wurden.

VorfälleTCP

Der TCP/IP-Netzwerkstack hat eine Reihe von Problemen, die in diesem Jahr besonders akut werden. Um das aktive Geschwindigkeitswachstum aufrechtzuerhalten, muss die Internet-Infrastruktur ständig aktualisiert werden. Die Geschwindigkeit der physischen Internetverbindung steigt alle paar Jahre. In den frühen 2000er Jahren. 1 Gbit/s wurde zum Standard, heute ist die beliebteste physikalische Schnittstelle 10 Gbit/s. Allerdings hat bereits die massive Einführung eines neuen Standards für die physikalische Schnittstelle, 100 Gbit/s, begonnen, was zu Problemen mit dem veralteten TCP/IP-Protokoll führt, das nicht für so hohe Geschwindigkeiten ausgelegt ist.

So ist es beispielsweise innerhalb von Minuten möglich, eine TCP-Sequenznummer abzurufen – eine eindeutige numerische Kennung, die es (oder besser gesagt, erlaubten) Partnern an einer TCP / IP-Verbindung ermöglicht, sich zum Zeitpunkt des Verbindungsaufbaus gegenseitig zu authentifizieren und Daten auszutauschen , um ihre Ordnung und Integrität zu wahren. Bei Geschwindigkeiten von 100 Gbit/s garantiert eine Zeile in den TCP-Server-Logfiles über eine offene Verbindung und/oder darüber gesendete Daten nicht mehr, dass die feste IP-Adresse tatsächlich eine Verbindung aufgebaut und diese Daten übermittelt hat. Dementsprechend eröffnet sich die Möglichkeit, Angriffe einer neuen Klasse zu organisieren und die Effizienz von Firewalls kann deutlich sinken.

TCP/IP-Schwachstellen haben die Aufmerksamkeit vieler Forscher auf sich gezogen. Sie glauben, dass wir bereits 2016 von "aufsehenerregenden" Angriffen im Zusammenhang mit der Ausnutzung dieser "Löcher" hören werden.

Nahe Zukunft

Die Entwicklung von Technologien und Bedrohungen verläuft heute nicht entlang der "klassischen" Spirale, da das System nicht geschlossen ist - es wird von vielen externen Faktoren beeinflusst. Das Ergebnis ist eine Spirale mit wachsender Amplitude – sie steigt nach oben, die Komplexität der Angriffe wächst und die Reichweite der Technologien nimmt deutlich zu. Beachten wir einige Faktoren, die einen gravierenden Einfluss auf die Entwicklung des Systems haben.

Die wichtigste ist natürlich die Migration auf das neue Transportprotokoll IPv6. Ende 2015 wurde IPv4 eingestellt und IPv6 rückt in den Vordergrund, was neue Herausforderungen mit sich bringt: Jetzt hat jedes Gerät eine IP-Adresse und alle können direkt miteinander kommunizieren. Ja, es gibt neue Empfehlungen, wie Endgeräte funktionieren sollen, aber wie die Branche mit all dem umgehen wird, insbesondere Telekommunikationsanbieter, das Massenproduktsegment und chinesische Anbieter, ist eine offene Frage. IPv6 ist ein Game-Changer.

Eine weitere Herausforderung ist das signifikante Wachstum der Mobilfunknetze, deren Geschwindigkeiten und Ausdauer. Hatte das mobile Botnet früher vor allem für den Telekommunikationsbetreiber selbst Probleme bereitet, werden heute, da die 4G-Kommunikation schneller wird als das kabelgebundene Internet, mobile Netzwerke mit einer Vielzahl von Geräten, einschließlich der in China hergestellten, zu einem hervorragende Plattform für die Durchführung von DDoS- und Hackerangriffen. Und Probleme ergeben sich nicht nur für den Telekom-Betreiber, sondern auch für andere Marktteilnehmer.

Die aufstrebende Welt des „Internet der Dinge“ stellt eine ernsthafte Bedrohung dar. Neue Angriffsvektoren entstehen, da die schiere Anzahl von Geräten und der Einsatz drahtloser Technologien Hackern wirklich grenzenlose Möglichkeiten eröffnen. Alle mit dem Internet verbundenen Geräte können potenziell Teil der Infrastruktur des Angreifers werden und an DDoS-Angriffen beteiligt sein.

Leider bieten Hersteller aller Arten von Haushaltsgeräten, die an das Netzwerk angeschlossen sind (Wasserkocher, Fernseher, Autos, Multikocher, Waagen, "intelligente" Steckdosen usw.) nicht immer den richtigen Schutz. Häufig verwenden solche Geräte alte Versionen gängiger Betriebssysteme, und Anbieter kümmern sich nicht darum, sie regelmäßig zu aktualisieren – sie durch Versionen zu ersetzen, die Schwachstellen beseitigt haben. Und wenn das Gerät beliebt und weit verbreitet ist, werden Hacker die Gelegenheit nicht verpassen, seine Schwachstellen auszunutzen.

Die Vorboten der IoT-Problematik tauchten bereits 2015 auf. Der letzte Angriff auf Blizzard Entertainment wurde nach vorläufigen Angaben mit IoT-Geräten durchgeführt. Auf modernen Teekannen und Glühbirnen wurde bösartiger Code entdeckt. Chipsätze machen es auch Hackern leichter. Vor nicht allzu langer Zeit wurde ein kostengünstiger Chipsatz veröffentlicht, der für verschiedene Geräte entwickelt wurde, die mit dem Internet "kommunizieren" können. Angreifer müssen also nicht 100.000 benutzerdefinierte Firmwares hacken - sie müssen nur einen Chipsatz "brechen" und Zugriff auf alle darauf basierenden Geräte erhalten.

Es wird prognostiziert, dass schon bald alle Smartphones, die auf älteren Android-Versionen basieren, mindestens einem Botnet angehören werden. Es folgen alle "smarten" Steckdosen, Kühlschränke und andere Haushaltsgeräte. In ein paar Jahren warten Botnets von Teekannen, Babyphones und Multicooker auf uns. Das Internet der Dinge wird uns nicht nur Komfort und zusätzliche Möglichkeiten bringen, sondern auch viele Probleme. Wenn es viele Dinge im IoT gibt und jeder Pin 10 Byte senden kann, werden neue Sicherheitsherausforderungen entstehen, die es zu bewältigen gilt. Und darauf sollten wir uns heute vorbereiten.

Brian Krebs arbeitete einst für die Washington Post und untersuchte für sie die Internetsicherheit. Später kündigte der Journalist, um seinen eigenen Blog zu starten. Der Ex-Journalist änderte seine Spezialisierung nicht, für die er im September bezahlte, als er einen Betrug mit zwei israelischen Teenagern aufdeckte.

Also ging Brian Krebs seinen üblichen Geschäften nach und untersuchte Internetkriminalität. Zu seiner Liste der gelösten Fälle gehörte zu diesem Zeitpunkt auch der Fall des Stuxnet-Virus, der Daten von Heimcomputern und Industrieanlagen sammelte. Krebs war der erste, der 2010 öffentlich über das Virus sprach. Drei Jahre später entdeckte Brian den Mann, der Karteninformationen für Targets Käufer verkaufte. Die Rache der Internetkriminellen war konkret, die Polizei wurde zu seinem Haus gerufen.

Ich denke also, Brian hat verstanden, wozu die Hacker fähig sind, obwohl er sich das mögliche Ausmaß kaum vorstellen konnte, als er im September einen Beitrag über israelische Teenager veröffentlichte, die an DDoS-Angriffen beteiligt waren. Am selben Tag wurden die Hacker festgenommen, später jedoch gegen Kaution freigelassen. Zufall oder nicht, von diesem Zeitpunkt an musste Brians Website einen großen DDoS-Angriff abwehren, den eines der weltweit führenden Internetsicherheitsunternehmen nicht bewältigen konnte. Akamai bietet seit vier Jahren DDoS-Schutz für Krebs' Blog. In seiner Veröffentlichung sprach ein Internet-Sicherheitsspezialist über den vDOS-Dienst, der laut offizieller Version die Lasten auf Websites testete, aber tatsächlich deren Arbeit störte. Nach einer groben Schätzung gelang es den Machern des Dienstes, etwa 600 Tausend Dollar zu beschaffen.

Den Assistenten von Krebs gelang es, die Datenbanken herunterzuladen, mit deren Hilfe die realen Adressen der Server in Bulgarien ermittelt wurden, von denen aus die DDoS-Angriffe durchgeführt wurden. Wie Sie sich vorstellen können, sind Hacker daran interessiert, ihre echten IP-Adressen zu verbergen. Nach der Analyse der Daten konnte Brian die Namen und sogar Telefonnummern von Israelis ermitteln, die die Eigentümer des Dienstes sein könnten.

Später wurde bekannt, dass am Tag der Veröffentlichung des Beitrags zwei Jugendliche festgenommen, aber bald wieder freigelassen wurden. Und bereits am 10. September begann die Website von Brian Krebs Probleme zu haben. Maximal erreichte die Angriffsleistung 140 Gigabit pro Sekunde. Die beleidigten Hacker haben es nicht versäumt, Krebs Nachrichten "godiefaggot" zu hinterlassen. Für eine Weile funktionierte der Blog sogar nicht mehr, aber Akamai-Spezialisten konnten ihn wiederherstellen. Aber die Angriffe hörten hier nicht auf. Und am 20. September betrug seine Kapazität bereits 665 Gigabit pro Sekunde. Akamai war gezwungen, die Pflege des Blogs von Krebs abzulehnen, um zahlende Abonnenten zu schützen. Die Wucht des Angriffs, dem die Site ausgesetzt war, war doppelt so stark, wie Akamai bisher beobachtet hatte. Einige Journalisten waren sich einig, dass dies der größte Angriff in der gesamten Geschichte des Internets war. Anfang 2016 wurde beispielsweise die BBC-Website mit einer Rate von 602 Gigabit pro Sekunde angegriffen. Der Rekord wurde wenige Monate später gebrochen.

Offenbar hat der Posten von Krebs die Angreifer zutiefst verletzt. Der Angriff wurde mit IP-Kameras, Routern und anderen "Internet of Things" durchgeführt, für die Benutzer Standardpasswörter festlegen. Die Hacker versuchten nicht einmal, ihre Spuren zu verwischen und beleuchteten die Adressen der meisten Geräte, die noch für andere Finanzangriffe verwendet werden könnten. Wieder wurden sie mit Wortformen nicht weise. Der Spitzname eines der Ersteller des vDOC - AppleJ4ck - konnte in einigen POST-Anfragen des Angriffs gelesen werden, die die Zeichenfolge "freeapplej4ck" enthielten. Nur das Eingreifen von Google ermöglichte die Wiederherstellung der Website mit den Untersuchungen von Krebs. Das Project Shield des Internetgiganten schützt die Websites unabhängiger Journalisten und Medien vor Cyberangriffen.

Und in der ersten Veröffentlichung nach der Wiederherstellung der Website sprach Brian Krebs über Zensur im Internet. Wirksame Werkzeuge stehen nicht nur dem Staat, sondern auch Kriminellen zur Verfügung. DDoS-Angriffe können in der heutigen Marktwirtschaft ein ernsthaftes Hindernis für unabhängige Ermittlungen darstellen. Nicht alle Medien haben ein Cyber-Defense-Budget von 200.000 US-Dollar.

Fehler im Text? Wählen Sie es mit Ihrer Maus aus! Und drücke: Strg + Enter

Andrey Golovachev erinnerte auf seiner Facebook-Seite daran, dass die politische Karriere aller ukrainischen Präsidenten in einer Katastrophe endete. Laut dem Politexperten erhielt Leonid Kuchma a

Vor etwa sechs Monaten erfuhr die Öffentlichkeit, dass bei der berühmten russischen Schauspielerin Anastasia Zavorotnyuk ein bösartiger Hirntumor diagnostiziert wurde. Ab heute nein

Bei der Erörterung der Bedenken von Präsident Volodymyr Zelenskiy während seines Besuchs im Vatikan stellten einige Beobachter fest, dass dies der erste derartige Fall in der Geschichte sei, bei dem Beamte der St.

DoS- und DDoS-Angriffe sind aggressive äußere Einflüsse auf die Rechenressourcen eines Servers oder einer Workstation, die darauf abzielen, diese zum Ausfall zu bringen. Unter Ausfall verstehen wir nicht den physischen Ausfall einer Maschine, sondern die Unzugänglichkeit ihrer Ressourcen für gewissenhafte Benutzer - ein Versagen des Systems, sie zu warten ( D enial Ö F S ervice, woraus sich die Abkürzung DoS zusammensetzt).

Wird ein solcher Angriff von einem einzelnen Computer aus durchgeführt, wird er als DoS (DoS) klassifiziert, wenn von mehreren - DDoS (DDoS oder DDoS), was bedeutet "D verteilt D enial Ö F S ervice "- verteilter Denial-of-Service. Lassen Sie uns als Nächstes darüber sprechen, warum Angreifer solche Aktionen ausführen, was sie sind, welchen Schaden sie den Angegriffenen zufügen und wie diese ihre Ressourcen schützen können.

Wer kann unter DoS- und DDoS-Angriffen leiden

Die Angriffe zielen viel seltener auf Unternehmensserver von Unternehmen und Websites - Personalcomputer von Einzelpersonen. Der Zweck solcher Aktionen besteht in der Regel darin, den Angegriffenen wirtschaftlichen Schaden zuzufügen und im Schatten zu bleiben. In einigen Fällen sind DoS- und DDoS-Angriffe eine der Stufen des Server-Hackings und zielen darauf ab, Informationen zu stehlen oder zu zerstören. Tatsächlich kann ein Unternehmen oder eine Website, die einer beliebigen Person gehört, Opfer von Cyberkriminellen werden.

Diagramm zur Veranschaulichung des Wesens eines DDoS-Angriffs:

DoS- und DDoS-Angriffe werden am häufigsten auf Veranlassung unehrlicher Konkurrenten durchgeführt. Indem Sie also die Website eines Online-Shops, der ein ähnliches Produkt anbietet, „auffüllen“, können Sie vorübergehend zum „Monopolisten“ werden und seine Kunden für sich abholen. Durch das "Ablegen" des Firmenservers ist es möglich, die Arbeit eines konkurrierenden Unternehmens zu stören und dadurch seine Position am Markt zu reduzieren.

Große Angriffe, die erheblichen Schaden anrichten können, werden in der Regel von professionellen Cyberkriminellen für viel Geld durchgeführt. Aber nicht immer. Homebrew-Amateur-Hacker können Ihre Ressourcen angreifen - aus Interesse und Rächer unter entlassenen Mitarbeitern und einfach diejenigen, die Ihre Ansichten über das Leben nicht teilen.

Manchmal wird der Einschlag mit dem Ziel der Erpressung ausgeführt, während der Angreifer offen Geld vom Besitzer der Ressource verlangt, um den Angriff zu stoppen.

Die Server staatlicher Unternehmen und namhafter Organisationen werden oft von anonymen Gruppen hochqualifizierter Hacker angegriffen, um Beamte zu beeinflussen oder einen öffentlichen Aufschrei auszulösen.

Wie Angriffe ausgeführt werden

Das Funktionsprinzip von DoS- und DDoS-Angriffen besteht darin, einen großen Informationsstrom an den Server zu senden, der die Rechenressourcen des Prozessors, RAM, maximal (soweit es die Fähigkeiten des Hackers erlauben) belastet, Kommunikationskanäle verstopft , oder belegt den Speicherplatz. Die angegriffene Maschine kommt mit der Verarbeitung der eingehenden Daten nicht zurecht und reagiert nicht mehr auf Benutzeranfragen.

So sieht der normale Betrieb des Servers, visualisiert im Logstalgia-Programm, aus:

Die Effektivität einzelner DOS-Angriffe ist nicht sehr hoch. Darüber hinaus besteht bei einem Angriff von einem PC aus die Gefahr, dass ein Angreifer identifiziert und erwischt wird. Verteilte Angriffe (DDoS) aus sogenannten Zombie-Netzwerken oder Botnets bringen viel mehr Gewinn.

So zeigt die Website Norse-corp.com die Botnet-Aktivität an:

Ein Zombie-Netzwerk (Botnet) ist eine Gruppe von Computern, die keine physische Verbindung zueinander haben. Sie eint die Tatsache, dass sie alle unter der Kontrolle des Angreifers stehen. Die Kontrolle erfolgt mittels eines Trojaners, der sich vorerst in keiner Weise manifestieren darf. Bei einem Angriff weist der Hacker die infizierten Computer an, Anfragen an die Website oder den Server des Opfers zu senden. Und er, der dem Ansturm nicht standhalten kann, reagiert nicht mehr.

So zeigt Logstalgia den DDoS-Angriff:

Jeder Computer kann dem Botnet beitreten. Und sogar ein Smartphone. Es reicht aus, den Trojaner zu fangen und nicht rechtzeitig zu erkennen. Übrigens hatte das größte Botnet weltweit fast 2 Millionen Maschinen, und ihre Besitzer hatten keine Ahnung, was sie taten.

Angriffs- und Verteidigungsmethoden

Bevor ein Hacker einen Angriff startet, findet er heraus, wie er ihn mit maximaler Wirkung ausführen kann. Weist der angegriffene Knoten mehrere Schwachstellen auf, können die Auswirkungen in verschiedene Richtungen erfolgen, was die Reaktion erheblich erschwert. Daher ist es für jeden Serveradministrator wichtig, alle seine Engpässe zu untersuchen und nach Möglichkeit zu verstärken.

Flut

Flood ist vereinfacht gesagt eine Information, die keine semantische Last trägt. Im Kontext von DoS / DDoS-Angriffen ist eine Flut eine Lawine leerer, bedeutungsloser Anfragen der einen oder anderen Ebene, die der empfangende Knoten zwangsweise verarbeiten muss.

Der Hauptzweck der Verwendung von Flooding besteht darin, Kommunikationskanäle vollständig zu verstopfen und die Bandbreite maximal zu sättigen.

Hochwasserarten:

  • MAC-Flood - Auswirkung auf Netzwerkkommunikatoren (Blockieren von Ports mit Datenströmen).
  • ICMP-Flood – Überfluten des Opfers mit Service-Echo-Anfragen über ein Zombie-Netzwerk oder Senden von Anfragen „im Auftrag“ des angegriffenen Hosts, sodass alle Botnet-Mitglieder ihm gleichzeitig eine Echo-Antwort senden (Smurf-Angriff). Ein Sonderfall von ICMP-Flooding ist das Ping-Flooding (Senden von Ping-Anfragen an den Server).
  • SYN-Flood - Senden mehrerer SYN-Anforderungen an das Opfer, Überlaufen der TCP-Verbindungswarteschlange durch Erstellen einer großen Anzahl halboffener (ausstehender Client-Bestätigung) Verbindungen.
  • UDP-Flood - funktioniert nach dem Schema der Smurf-Angriffe, bei denen UDP-Datagramme anstelle von ICMP-Paketen gesendet werden.
  • HTTP-Flood - Überschwemmung des Servers mit zahlreichen HTTP-Nachrichten. Eine ausgefeiltere Option ist ein HTTPS-Flood, bei dem die übertragenen Daten vorverschlüsselt werden und bevor der angegriffene Host sie verarbeitet, muss er sie entschlüsseln.


So schützen Sie sich vor Hochwasser

  • Konfigurieren Sie die MAC-Adressvalidierung und -filterung auf Netzwerk-Switches.
  • Beschränken oder verweigern Sie die Verarbeitung von ICMP-Echoanforderungen.
  • Blockieren Sie Pakete, die von einer bestimmten Adresse oder Domäne kommen, was den Verdacht auf Unzuverlässigkeit aufkommen lässt.
  • Begrenzen Sie die Anzahl der halboffenen Verbindungen mit einer Adresse, reduzieren Sie deren Aufbewahrungszeit, verlängern Sie die TCP-Verbindungswarteschlange.
  • Deaktivieren Sie UDP-Dienste für den Empfang von Datenverkehr von außen oder begrenzen Sie die Anzahl der UDP-Verbindungen.
  • Verwenden Sie CAPTCHAs, Verzögerungen und andere Anti-Bot-Schutztechniken.
  • Erhöhen Sie die maximale Anzahl von HTTP-Verbindungen, konfigurieren Sie das Anforderungs-Caching mit nginx.
  • Erweitern Sie die Bandbreite des Netzwerkkanals.
  • Weisen Sie nach Möglichkeit einen separaten Server für die Verarbeitung der Kryptographie zu (sofern zutreffend).
  • Erstellen Sie einen Backup-Kanal für den administrativen Zugriff auf den Server in Notfallsituationen.

Überlastung von Hardwareressourcen

Es gibt Arten von Flooding, die sich nicht auf den Kommunikationskanal, sondern auf die Hardwareressourcen des angegriffenen Computers auswirken, diese vollständig belasten und zum Einfrieren oder Abstürzen führen. Zum Beispiel:

  • Erstellung eines Skripts, das eine große Menge bedeutungsloser Textinformationen in einem Forum oder einer Website veröffentlicht, auf der Benutzer die Möglichkeit haben, Kommentare zu hinterlassen, bis der gesamte Speicherplatz voll ist.
  • Das gleiche, nur die Serverprotokolle füllen das Laufwerk.
  • Laden einer Site, auf der eine Transformation der eingegebenen Daten durch kontinuierliche Verarbeitung dieser Daten (Versenden sogenannter "schwerer" Pakete) durchgeführt wird.
  • Laden des Prozessors oder Speichers durch Ausführen von Code über die CGI-Schnittstelle (CGI-Unterstützung ermöglicht Ihnen, jedes externe Programm auf dem Server auszuführen).
  • Auslösen eines Sicherheitssystems, das den Server von außen unzugänglich macht usw.


So schützen Sie sich vor Überlastung der Hardwareressourcen

  • Erhöhen Sie die Hardwareleistung und den Speicherplatz. Im normalen Betrieb des Servers müssen mindestens 25-30% der Ressourcen frei bleiben.
  • Setzen Sie Systeme ein, um den Datenverkehr zu analysieren und zu filtern, bevor Sie ihn an den Server übertragen.
  • Begrenzen Sie die Nutzung von Hardwareressourcen durch Systemkomponenten (Festlegen von Kontingenten).
  • Speichern Sie Serverprotokolldateien auf einem separaten Laufwerk.
  • Verteilen Sie Ressourcen auf mehrere unabhängige Server. Damit bei Ausfall eines Teils die anderen betriebsbereit bleiben.

Sicherheitslücken in Betriebssystemen, Software, Gerätefirmware

Es gibt unermesslich mehr Möglichkeiten, solche Angriffe durchzuführen als Fluten. Ihre Umsetzung hängt von den Fähigkeiten und der Erfahrung des Angreifers ab, seiner Fähigkeit, Fehler im Programmcode zu finden und zu seinem eigenen Vorteil und zum Nachteil des Besitzers der Ressource zu nutzen.

Nachdem ein Hacker eine Schwachstelle entdeckt (einen Softwarefehler, mit dem das System gestört werden kann), muss er lediglich einen Exploit erstellen und ausführen – ein Programm, das diese Schwachstelle ausnutzt.

Die Ausnutzung von Schwachstellen soll nicht immer nur Denial-of-Service bewirken. Wenn der Hacker Glück hat, kann er die Kontrolle über die Ressource erlangen und nach eigenem Ermessen über dieses „Geschenk des Schicksals“ verfügen. Es kann beispielsweise verwendet werden, um Malware zu verbreiten, Informationen zu stehlen und zu zerstören usw.

Methoden zur Bekämpfung der Ausnutzung von Schwachstellen in Software

  • Installieren Sie rechtzeitig Updates, die Schwachstellen in Betriebssystemen und Anwendungen schließen.
  • Isolieren Sie alle Verwaltungsdienste vom Zugriff Dritter.
  • Verwenden Sie Mittel zur ständigen Überwachung des Betriebs des Server-Betriebssystems und der Programme (Verhaltensanalyse usw.).
  • Geben Sie potenziell anfällige Programme (kostenlos, selbst geschrieben, selten aktualisiert) zugunsten bewährter und gut geschützter Programme auf.
  • Nutzen Sie vorgefertigte Mittel zum Schutz von Systemen gegen DoS- und DDoS-Angriffe, die sowohl in Form von Hardware- als auch Softwaresystemen existieren.

So stellen Sie fest, ob eine Ressource von einem Hacker angegriffen wurde

Wenn es dem Angreifer gelingt, das Ziel zu erreichen, ist es unmöglich, den Angriff zu übersehen, aber in einigen Fällen kann der Administrator nicht genau feststellen, wann er gestartet wurde. Das heißt, es dauert manchmal mehrere Stunden vom Beginn des Angriffs bis zu spürbaren Symptomen. Bei der latenten Exposition (bis der Server "hinlegt") gibt es jedoch auch bestimmte Anzeichen. Zum Beispiel:

  • Unnatürliches Verhalten von Serveranwendungen oder Betriebssystem (Einfrieren, Herunterfahren mit Fehlern usw.).
  • Die Belastung des Prozessors, des Arbeitsspeichers und des Speichers steigt gegenüber dem Ausgangswert dramatisch an.
  • Das Verkehrsaufkommen auf einem oder mehreren Ports nimmt deutlich zu.
  • Es gibt mehrere Aufrufe von Clients zu denselben Ressourcen (Öffnen einer Seite der Site, Herunterladen derselben Datei).
  • Die Analyse von Server-, Firewall- und Netzwerkgeräteprotokollen zeigt eine große Anzahl einheitlicher Anfragen von verschiedenen Adressen, die oft an einen bestimmten Port oder Dienst gerichtet sind. Vor allem, wenn sich die Site an ein enges Publikum richtet (z. B. Russischsprachige) und Anfragen aus der ganzen Welt kommen. Gleichzeitig zeigt eine qualitative Analyse des Traffics, dass Anfragen für Kunden keine praktische Bedeutung haben.

All dies ist kein 100%iges Zeichen für einen Angriff, aber es ist immer ein Grund, auf das Problem zu achten und geeignete Schutzmaßnahmen zu ergreifen.

2021 wisemotors.ru. Wie es funktioniert. Eisen. Bergbau. Kryptowährung.