Turcja znalazła się pod zmasowanym atakiem DDoS. Ataki DOS i DDoS: koncepcja, rodzaje, metody wykrywania i ochrony Przeciwko komu i w jakim celu przeprowadzane są ataki DDoS

FSB prowadzi śledztwo w sprawie karnej w sprawie zmasowanego ataku hakerskiego z wykorzystaniem Internetu Rzeczy (IoT) na obiekty sektora finansowego jesienią 2016 r., których obiektami były Sbierbank, Rosbank, Alfa-Bank, Bank of Moskwa, Moskwa Exchange i inne ...

Według Kommiersanta, wicedyrektor FSB Dmitrij Szalkow mówił o tym w Dumie Państwowej podczas prezentacji pakietu rządowych ustaw o bezpieczeństwie krytycznej infrastruktury informatycznej (CII) Federacji Rosyjskiej.

W 2016 roku na rosyjskie oficjalne zasoby informacyjne zarejestrowano około 70 milionów ataków DDoS, czyli trzy razy więcej niż rok wcześniej. Jednak listopadowe ataki hakerów różnią się od większości z nich, zauważył Shalkov.

Powiedział, że średnie ataki DDoS zostały przeprowadzone na ośmiu organizacjach od 8 do 14 listopada. Obejmowały one tzw. botnety (komputery z dostępem do Internetu zhakowane i przejęte przez hakerów), wykorzystujące podłączone do sieci urządzenia IoT, a w szczególności kamery internetowe. Wicedyrektor FSB zwrócił uwagę na podobieństwo skoordynowanego ataku na rosyjskie struktury z sześciogodzinnym październikowym atakiem w Stanach Zjednoczonych na usługi dostawcy Internetu Dyn, w wyniku którego szereg dużych zasobów amerykańskich (Twitter, CNN, Spotify, The New York Times i Reddit) przez długi czas były niedostępne.

Jednocześnie atakom nie towarzyszyła kradzież środków, a atakowane banki nie odnotowały zakłóceń w działaniu usług. Takie incydenty nie powtórzyły się po listopadowych atakach, poinformował Centralny Bank Rosji.

Kommersant zauważa, że ​​same ataki DDoS nie mają na celu kradzieży finansów, z reguły służą do blokowania stron internetowych i usług bankowości internetowej. Gleb Cherbov, zastępca szefa działu audytu bezpieczeństwa w Digital Security, wyjaśnił, że „urządzenia i serwery kontrolowane przez cyberprzestępców są połączone w botnety, gotowe do generowania ruchu sieciowego, który ma fatalne skutki dla zaatakowanego systemu”. Jednak masowe ataki DDoS mogą spowodować poważne straty dla banków. Na przykład niedostępność usług może wywołać panikę wśród deponentów, którzy zaczną masowo wycofywać depozyty. Ponadto masowe ataki DDoS są często wykorzystywane do maskowania innych działań. W szczególności, podczas gdy eksperci ds. bezpieczeństwa eliminują tę lukę, osoby atakujące mogą przeniknąć do infrastruktury bankowej.

Według gazety wszczęcie przez FSB sprawy karnej w sprawie ataków hakerskich w listopadzie 2016 r. oznacza, że ​​podejrzani zostali już zidentyfikowani w ramach śledztwa. Śledztwo w takich sprawach trwa co najmniej sześć miesięcy, ale w rzeczywistości termin ten przedłuża się o dwa lub trzy lata, jak podaje źródło publikacji.

Niestabilna sytuacja gospodarcza ostatnich dwóch lat doprowadziła do znacznego wzrostu poziomu konkurencji na rynku, w wyniku czego wzrosła popularność ataków DDoS – skutecznej metody wyrządzania szkód gospodarczych.

W 2016 r. kilkakrotnie wzrosła liczba zamówień komercyjnych na organizację ataków DDoS. Masowe ataki DDoS przeniosły się z obszaru ukierunkowanych wpływów politycznych, jak miało to miejsce np. w 2014 r., do segmentu biznesu masowego. Głównym zadaniem cyberprzestępców jest jak najszybsze i przy minimalnych kosztach uniemożliwienie dostępu do zasobu w celu pozyskania na niego pieniędzy od konkurencji, zapewnienia sobie warunków do wymuszeń itp. Coraz aktywniej wykorzystywane są ataki DDoS, które stymuluje poszukiwanie coraz większych środków ochrony biznesu na dużą skalę.

Jednocześnie liczba ataków wciąż rośnie, nawet pomimo znaczących sukcesów w walce z DDoS. Według Qrator Labs ataki DDoS wzrosły o 100% w 2015 roku. I nie ma w tym nic dziwnego, bo ich koszt spadł do około 5 dolarów za godzinę, a narzędzia do ich realizacji weszły na masowy czarny rynek. Oto niektóre z głównych trendów w rozproszonych atakach typu „odmowa usługi”, które są przewidywane na kilka następnych lat.

Ataki wzmacniające UDP

Ataki mające na celu wyczerpanie przepustowości kanału obejmują wzmocnienie UDP. Takie incydenty były najczęstsze w 2014 roku i stały się jasnym trendem w 2015 roku. Jednak ich liczba osiągnęła już swój szczyt i stopniowo spada – zasoby do przeprowadzania takich ataków są nie tylko ograniczone, ale także gwałtownie maleją.

Wzmacniacz to publiczna usługa UDP działająca bez uwierzytelniania, która może wysłać znacznie większą odpowiedź na małe żądanie. Atakujący, wysyłając takie żądania, zastępuje swój adres IP adresem IP ofiary. W rezultacie ruch powrotny, znacznie przekraczający przepustowość kanału atakującego, jest przekierowywany do zasobów sieciowych ofiary. Serwery DNS, NTP, SSDP i inne są wykorzystywane do nieświadomego udziału w atakach.

Ataki L7 na aplikacje webowe

W związku ze zmniejszeniem liczby wzmacniaczy ponownie na pierwszy plan wysuwa się organizacja ataków na aplikacje webowe na poziomie L7 z wykorzystaniem klasycznych botnetów. Jak wiadomo, botnet jest w stanie przeprowadzać ataki sieciowe za pomocą zdalnych poleceń, a właściciele zainfekowanych komputerów mogą nawet nie być tego świadomi. W wyniku przeciążenia usługi „śmieciowymi” żądaniami, żądania od legalnych użytkowników zazwyczaj pozostają bez odpowiedzi lub na odpowiedź potrzeba bezzasadnie dużo czasu.

Botnety stają się dziś coraz bardziej inteligentne. Podczas organizowania odpowiednich ataków obsługiwana jest technologia Full-browser stack, czyli pełna emulacja komputera użytkownika, przeglądarki i tworzenia skryptów java. Takie techniki są świetne w maskowaniu ataków L7. Ręczne odróżnienie bota od użytkownika jest prawie niemożliwe. Wymaga to systemów wykorzystujących technologię uczenia maszynowego, dzięki której wzrasta poziom odporności na ataki, usprawniane są mechanizmy, a dokładność testowania wzrasta.

Problemy z protokołem BGP

W 2016 roku pojawił się nowy trend – ataki na infrastrukturę sieciową, w tym oparte na wykorzystaniu luk w protokole BGP. Problemy protokołu routingu BGP, na którym opiera się cały Internet, znane są od kilku lat, ale w ostatnich latach coraz częściej prowadzą do poważnych negatywnych konsekwencji.

Anomalie sieciowe związane z routingiem w warstwie sieci międzydomenowej mogą wpływać na dużą liczbę hostów, sieci, a nawet na globalną łączność i dostępność Internetu. Najczęstszym rodzajem problemu są wycieki trasy - „wyciek” trasy, który pojawia się w wyniku jej ogłoszenia w złym kierunku. Jak dotąd luki w BGP są rzadko wykorzystywane celowo: koszt zorganizowania takiego ataku jest dość wysoki, a incydenty wynikają głównie z typowych błędów w ustawieniach sieci.

Jednak w ostatnich latach skala zorganizowanych grup przestępczych w Internecie znacznie wzrosła, dlatego zgodnie z prognozą Qrator Labs ataki związane z problemami BGP staną się popularne w dającej się przewidzieć przyszłości. Uderzającym przykładem jest przejęcie adresów IP przez znaną cybergrupę Hacking Team, przeprowadzone na polecenie państwa: włoska policja musiała przejąć kontrolę nad kilkoma komputerami, w odniesieniu do których właścicieli podjęto działania śledcze.

IncydentyTCP

Stos sieciowy TCP/IP ma wiele problemów, które w tym roku staną się szczególnie dotkliwe. Aby utrzymać aktywny wzrost prędkości, infrastruktura internetowa musi być stale aktualizowana. Fizyczne prędkości połączeń internetowych rosną co kilka lat. Na początku 2000 roku. Standardem stał się 1 Gbps, dziś najpopularniejszym fizycznym interfejsem jest 10 Gbps. Jednak masowe wprowadzanie nowego standardu interfejsu fizycznego, 100 Gbit/s, już się rozpoczęło, co powoduje problemy z przestarzałym protokołem TCP/IP, który nie jest przeznaczony do tak dużych prędkości.

Na przykład, w ciągu kilku minut możliwe staje się pobranie numeru sekwencyjnego TCP - unikalnego identyfikatora numerycznego, który pozwala (a raczej dozwolonym) partnerom w połączeniu TCP / IP na wzajemne uwierzytelnianie się w momencie nawiązywania połączenia i wymianę danych , zachowując ich porządek i integralność. Przy prędkościach 100 Gbit/s wiersz w plikach dziennika serwera TCP o otwartym połączeniu i/lub przesłanych przez niego danych nie gwarantuje już, że stały adres IP rzeczywiście nawiązał połączenie i przesłał te dane. W związku z tym otwiera się szansa na zorganizowanie ataków nowej klasy, a skuteczność zapór ogniowych może znacznie spaść.

Luki w protokole TCP/IP przyciągnęły uwagę wielu badaczy. Wierzą, że już w 2016 roku usłyszymy o „głośnych” atakach związanych z eksploatacją tych „dziur”.

Bliska przyszłość

Dziś rozwój technologii i zagrożeń nie przebiega „klasyczną” spiralą, ponieważ system nie jest zamknięty – ma na niego wpływ wiele czynników zewnętrznych. Efektem jest spirala o rosnącej amplitudzie – wznosi się ona w górę, rośnie złożoność ataków, a zasięg technologii znacznie się rozszerza. Zwróćmy uwagę na kilka czynników, które mają poważny wpływ na rozwój systemu.

Głównym z nich jest oczywiście migracja do nowego protokołu transportowego IPv6. Pod koniec 2015 r. IPv4 został przestarzały, a na pierwszy plan wysuwa się IPv6, co niesie ze sobą nowe wyzwania: teraz każde urządzenie ma adres IP i wszystkie mogą komunikować się bezpośrednio ze sobą. Owszem, pojawiły się nowe rekomendacje, jak powinny działać urządzenia końcowe, ale jak branża sobie z tym wszystkim poradzi, zwłaszcza operatorzy telekomunikacyjni, segment produktów masowych i chińscy dostawcy, jest kwestią otwartą. IPv6 zmienia zasady gry.

Kolejnym wyzwaniem jest znaczący rozwój sieci komórkowych, ich szybkości i wytrzymałości. O ile wcześniej botnet mobilny stwarzał problemy przede wszystkim samemu operatorowi telekomunikacyjnemu, to teraz, gdy komunikacja 4G staje się szybsza od Internetu przewodowego, sieci komórkowe z ogromną liczbą urządzeń, w tym także tych wyprodukowanych w Chinach, stają się doskonała platforma do przeprowadzania ataków DDoS i hakerskich. A problemy pojawiają się nie tylko dla operatora telekomunikacyjnego, ale także dla innych uczestników rynku.

Powstający świat „Internetu Rzeczy” stanowi poważne zagrożenie. Pojawiają się nowe wektory ataków, ponieważ szeroka gama urządzeń i korzystanie z technologii bezprzewodowej otwiera przed hakerami naprawdę nieograniczone możliwości. Wszystkie urządzenia podłączone do Internetu mogą potencjalnie stać się częścią infrastruktury atakującego i brać udział w atakach DDoS.

Niestety producenci wszelkiego rodzaju sprzętu AGD podłączonego do Sieci (czajniki, telewizory, samochody, multicooker, wagi, inteligentne gniazda itp.) nie zawsze zapewniają odpowiedni poziom ich ochrony. Często takie urządzenia korzystają ze starych wersji popularnych systemów operacyjnych, a sprzedawcy nie dbają o ich regularne aktualizowanie – zastępowanie ich wersjami, które wyeliminowały luki. A jeśli urządzenie jest popularne i szeroko stosowane, hakerzy nie przegapią okazji do wykorzystania jego luk w zabezpieczeniach.

Zwiastun problemu IoT pojawił się już w 2015 roku. Według wstępnych danych ostatni atak na Blizzard Entertainment został przeprowadzony przy użyciu urządzeń IoT. Wykryto złośliwy kod działający na nowoczesnych czajnikach i żarówkach. Chipsety ułatwiają również hakerom. Nie tak dawno wypuszczono niedrogi chipset, przeznaczony do różnych urządzeń, które mogą „komunikować się” z Internetem. W ten sposób atakujący nie muszą włamywać się do 100 tysięcy niestandardowych oprogramowania układowego - wystarczy „złamać” jeden chipset i uzyskać dostęp do wszystkich opartych na nim urządzeń.

Przewiduje się, że już niedługo wszystkie smartfony oparte na starszych wersjach Androida będą częścią co najmniej jednego botnetu. Za nimi pójdą wszystkie „inteligentne” wtyczki, lodówki i inne sprzęty AGD. Za kilka lat czekają na nas botnety z czajników, elektronicznych niań i multicookera. Internet Rzeczy przyniesie nam nie tylko wygodę i dodatkowe możliwości, ale także sporo problemów. Kiedy w IoT jest wiele rzeczy, a każdy pin może wysłać 10 bajtów, pojawią się nowe wyzwania bezpieczeństwa, które trzeba będzie rozwiązać. I powinniśmy się do tego przygotować już dziś.

Brian Krebs pracował kiedyś dla The Washington Post, badając dla nich bezpieczeństwo w Internecie. Później dziennikarz zrezygnował z prowadzenia własnego bloga. Były dziennikarz nie zmienił swojej specjalizacji, za którą zapłacił we wrześniu, kiedy ujawnił oszustwo dwóch izraelskich nastolatków..

Tak więc Brian Krebs zajął się swoimi zwykłymi sprawami, badał przestępstwa internetowe. Do tego czasu na jego liście rozwiązanych spraw znalazł się przypadek wirusa Stuxnet, który zbierał dane z komputerów domowych i zakładów przemysłowych. Krebs jako pierwszy publicznie opowiedział o wirusie w 2010 roku. Trzy lata później Brian odkrył mężczyznę, który sprzedawał informacje o kartach dla kupujących w Target. Zemsta przestępców internetowych była konkretna, do jego domu wezwano policję.

Myślę więc, że Brian rozumiał, do czego byli zdolni hakerzy, chociaż nie mógł sobie wyobrazić możliwej skali, gdy we wrześniu opublikował post o izraelskich nastolatkach zaangażowanych w ataki DDoS. Tego samego dnia hakerzy zostali aresztowani, ale później zwolnieni za kaucją. Zbieg okoliczności czy nie, od tego momentu strona Briana musiała odeprzeć poważny atak DDoS, z którym nie poradziła sobie jedna z wiodących światowych firm zajmujących się bezpieczeństwem internetowym. Akamai od czterech lat zapewnia ochronę przed atakami DDoS dla bloga Krebsa. W swojej publikacji specjalista od bezpieczeństwa internetowego mówił o usłudze vDOS, która według oficjalnej wersji testowała obciążenia na stronach, ale w rzeczywistości zakłócała ​​ich pracę. Według przybliżonych szacunków twórcom serwisu udało się zawłaszczyć około 600 tys. dolarów.

Asystenci Krebsa zdołali pobrać bazy danych, za pomocą których zidentyfikowano prawdziwe adresy serwerów w Bułgarii, z których przeprowadzono ataki DDoS. Jak możesz sobie wyobrazić, hakerzy są zainteresowani ukrywaniem swoich prawdziwych adresów IP. Po przeanalizowaniu danych Brianowi udało się ustalić nazwiska, a nawet numery telefonów Izraelczyków, którzy mogli być właścicielami serwisu.

Później wyszło na jaw, że w dniu publikacji posta aresztowano dwóch nastolatków, którzy wkrótce zostali zwolnieni. A już 10 września strona Briana Krebsa zaczęła mieć problemy. Maksymalnie moc ataku sięgała 140 gigabitów na sekundę. Obrażeni hakerzy nie omieszkali zostawić wiadomości Krebsa „godiefaggot”. Na jakiś czas blog przestał nawet działać, ale specjalistom Akamai udało się go przywrócić. Ale ataki na tym się nie skończyły. A do 20 września jego przepustowość wynosiła już 665 gigabitów na sekundę. Akamai został zmuszony do rezygnacji z prowadzenia bloga Krebsa, aby zapewnić bezpieczeństwo płacącym subskrybentom. Siła ataku, któremu poddana została strona, była dwa razy większa, niż zaobserwował do tej pory Akamai. Niektórzy dziennikarze zgodzili się, że był to największy atak w całej historii Internetu. Na przykład na początku 2016 r. witryna BBC została zaatakowana z szybkością 602 gigabitów na sekundę. Rekord został pobity kilka miesięcy później.

Podobno stanowisko Krebsa bardzo zaszkodziło napastnikom. Atak został przeprowadzony przy użyciu kamer IP, routerów i innych „Internetu rzeczy”, do których użytkownicy ustawiają standardowe hasła. Hakerzy nawet nie próbowali zacierać śladów i podświetlali adresy większości urządzeń, które nadal mogą być wykorzystywane do innych ataków finansowych. Znowu nie stali się mądrzy w formach słownych. Pseudonim jednego z twórców vDOC - AppleJ4ck - można było odczytać w niektórych żądaniach POST ataku zawierających ciąg "freeapplej4ck". Dopiero interwencja Google pozwoliła na przywrócenie witryny dzięki dochodzeniu Krebsa. Project Shield giganta internetowego chroni witryny niezależnych dziennikarzy i mediów przed cyberatakami.

A w pierwszej publikacji, po przywróceniu strony, Brian Krebs mówił o cenzurze w Internecie. Skuteczne narzędzia są dostępne nie tylko dla państwa, ale także dla przestępców. Ataki DDoS mogą stanowić poważną przeszkodę dla niezależnych dochodzeń w dzisiejszej gospodarce rynkowej. Nie wszystkie media mają budżet 200 tys. dolarów na ochronę cybernetyczną.

Błąd w tekście? Wybierz go myszką! I naciśnij: Ctrl + Enter

Andrey Golovachev przypomniał na swoim profilu na Facebooku, że kariery polityczne wszystkich ukraińskich prezydentów zakończyły się katastrofą. Według politologa Leonida Kuczmy otrzymał

Około sześć miesięcy temu opinia publiczna dowiedziała się, że u słynnej rosyjskiej aktorki Anastazji Zavorotnyuk zdiagnozowano złośliwego guza mózgu. Na dzień dzisiejszy nie

Omawiając obawy prezydenta Wołodymyra Zełenskiego podczas jego wizyty w Watykanie, niektórzy obserwatorzy zauważyli, że był to pierwszy taki przypadek w historii, w którym urzędnicy katedry św.

Ataki DoS i DDoS to agresywne zewnętrzne wpływy na zasoby obliczeniowe serwera lub stacji roboczej mające na celu doprowadzenie do awarii tych ostatnich. Przez awarię rozumiemy nie fizyczną awarię maszyny, ale niedostępność jej zasobów dla sumiennych użytkowników – awarię systemu do ich obsługi ( D niezachwiany o F S usługi, z której składa się skrót DoS).

Jeśli taki atak jest przeprowadzany z jednego komputera, to jest klasyfikowany jako DoS (DoS), jeśli z kilku - DDoS (DDoS lub DDoS), co oznacza "D rozprowadzane D niezachwiany o F S usługa „- rozproszona odmowa usługi. Następnie porozmawiajmy o tym, dlaczego napastnicy wykonują takie działania, czym one są, jakie szkody wyrządzają zaatakowanym i jak ci ostatni mogą chronić swoje zasoby.

Kto może cierpieć z powodu ataków DoS i DDoS?

Celem ataków są serwery korporacyjne przedsiębiorstw i strony internetowe, znacznie rzadziej - komputery osobiste osób prywatnych. Cel takich działań z reguły jest taki sam - wyrządzić szkodę ekonomiczną atakowanym i pozostać w cieniu. W niektórych przypadkach ataki DoS i DDoS są jednym z etapów hakowania serwerów i mają na celu kradzież lub zniszczenie informacji. W rzeczywistości, ofiarą cyberprzestępców może stać się firma lub strona internetowa należąca do każdego.

Schemat ilustrujący istotę ataku DDoS:

Ataki DoS i DDoS są najczęściej przeprowadzane za namową nieuczciwej konkurencji. Tak więc „zapełniając” stronę sklepu internetowego, który oferuje podobny produkt, możesz tymczasowo stać się „monopolistą” i samemu odbierać swoich klientów. Poprzez „odłożenie” serwera firmowego możliwe jest zakłócenie pracy konkurencyjnej firmy i tym samym obniżenie jej pozycji na rynku.

Ataki na dużą skalę, które mogą spowodować znaczne szkody, są zwykle przeprowadzane przez profesjonalnych cyberprzestępców za duże pieniądze. Ale nie zawsze. Hakerzy amatorzy Homebrew mogą atakować Twoje zasoby – z zainteresowania, a także mścicieli spośród zwolnionych pracowników i po prostu tych, którzy nie podzielają Twoich poglądów na życie.

Czasami uderzenie ma na celu wymuszenie, podczas gdy atakujący otwarcie żąda od właściciela zasobu pieniędzy za powstrzymanie ataku.

Serwery firm państwowych i znanych organizacji są często atakowane przez anonimowe grupy wysoko wykwalifikowanych hakerów w celu wpłynięcia na urzędników lub wywołania publicznego oburzenia.

Jak przeprowadzane są ataki

Zasada działania ataków DoS i DDoS polega na przesyłaniu do serwera dużego strumienia informacji, który maksymalnie (na ile pozwalają na to możliwości hakera) obciąża zasoby obliczeniowe procesora, pamięci RAM, zatyka kanały komunikacyjne lub zajmuje miejsce na dysku. Zaatakowana maszyna nie może obsłużyć przychodzących danych i przestaje odpowiadać na żądania użytkowników.

Tak wygląda normalne działanie serwera zwizualizowane w programie Logstalgia:

Skuteczność pojedynczych ataków DOS nie jest bardzo wysoka. Ponadto atak z komputera osobistego naraża atakującego na ryzyko zidentyfikowania i złapania. Ataki rozproszone (DDoS) z tzw. sieci zombie lub botnetów przynoszą znacznie większe zyski.

W ten sposób witryna Norse-corp.com wyświetla aktywność botnetów:

Sieć zombie (botnet) to grupa komputerów, które nie są ze sobą fizycznie połączone. Łączy ich fakt, że wszyscy znajdują się pod kontrolą napastnika. Kontrola odbywa się za pomocą programu trojańskiego, który na razie może się w żaden sposób nie zamanifestować. Przeprowadzając atak, haker instruuje zainfekowane komputery, aby wysłały żądania do witryny lub serwera ofiary. A on, nie mogąc wytrzymać ataku, przestaje odpowiadać.

Oto jak Logstalgia pokazuje atak DDoS:

Do botnetu może dołączyć dowolny komputer. A nawet smartfon. Wystarczy złapać trojana i nie wykryć go na czas. Nawiasem mówiąc, największy botnet liczył prawie 2 miliony maszyn na całym świecie, a ich właściciele nie mieli pojęcia, co robią.

Metody ataku i obrony

Przed rozpoczęciem ataku haker wymyśla, jak przeprowadzić go z maksymalnym efektem. Jeżeli atakowany węzeł posiada kilka podatności, oddziaływanie może być prowadzone w różnych kierunkach, co znacznie skomplikuje odpowiedź. Dlatego ważne jest, aby każdy administrator serwera zbadał wszystkie jego wąskie gardła i, jeśli to możliwe, wzmocnił je.

Powódź

W uproszczeniu powódź to informacja, która nie niesie ze sobą ładunku semantycznego. W kontekście ataków DoS/DDoS powódź to lawina pustych, bezsensownych żądań jednego lub drugiego poziomu, które węzeł odbierający jest zmuszony przetworzyć.

Głównym celem stosowania floodingu jest całkowite zatkanie kanałów komunikacyjnych, maksymalne nasycenie przepustowości.

Rodzaje powodzi:

  • MAC flood - wpływ na komunikatory sieciowe (blokowanie portów ze strumieniami danych).
  • ICMP flood - zalewanie ofiary żądaniami echa usług za pomocą sieci zombie lub wysyłanie żądań „w imieniu” zaatakowanego hosta, aby wszyscy członkowie botnetu jednocześnie wysyłali mu odpowiedź echo (atak Smurf). Szczególnym przypadkiem ICMP flooding jest ping flooding (wysyłanie żądań ping do serwera).
  • SYN flood - Wysyłanie wielu żądań SYN do ofiary, wypełnianie kolejki połączeń TCP poprzez tworzenie dużej liczby półotwartych (oczekujących na potwierdzenie klienta) połączeń.
  • UDP flood - działa według schematu ataków Smurf, gdzie zamiast pakietów ICMP wysyłane są datagramy UDP.
  • HTTP flood - zalewanie serwera licznymi wiadomościami HTTP. Bardziej wyrafinowaną opcją jest zalanie HTTPS, gdzie przesyłane dane są wstępnie szyfrowane i zanim atakowany host je przetworzy, musi je odszyfrować.


Jak uchronić się przed zalaniem

  • Skonfiguruj weryfikację i filtrowanie adresów MAC na przełącznikach sieciowych.
  • Ogranicz lub odmów przetwarzania żądań ICMP echo.
  • Blokuj pakiety przychodzące z określonego adresu lub domeny, co rodzi podejrzenie zawodności.
  • Ustaw limit liczby półotwartych połączeń z jednym adresem, skróć czas ich retencji, wydłuż kolejkę połączeń TCP.
  • Wyłącz usługi UDP od odbierania ruchu z zewnątrz lub ogranicz liczbę połączeń UDP.
  • Używaj CAPTCHA, opóźnień i innych technik ochrony przed robotami.
  • Zwiększ maksymalną liczbę połączeń HTTP, skonfiguruj buforowanie żądań za pomocą nginx.
  • Zwiększ przepustowość kanału sieciowego.
  • Jeśli to możliwe, przydziel oddzielny serwer do przetwarzania kryptografii (jeśli dotyczy).
  • Utwórz zapasowy kanał dostępu administracyjnego do serwera w sytuacjach awaryjnych.

Przeciążanie zasobów sprzętowych

Istnieją rodzaje zalań, które wpływają nie na kanał komunikacyjny, ale na zasoby sprzętowe zaatakowanego komputera, ładując je w pełni i powodując ich zawieszanie się lub awarię. Na przykład:

  • Stworzenie skryptu, który będzie publikował ogromną ilość bezsensownych informacji tekstowych na forum lub stronie, na której użytkownicy mają możliwość pozostawienia komentarzy, aż do zapełnienia całego miejsca na dysku.
  • To samo, tylko logi serwera zapełnią dysk.
  • Wczytywanie strony, w której następuje przekształcenie wprowadzonych danych poprzez ciągłe przetwarzanie tych danych (wysyłanie tzw. „ciężkich” pakietów).
  • Ładowanie procesora lub pamięci poprzez wykonanie kodu przez interfejs CGI (obsługa CGI pozwala na uruchomienie dowolnego zewnętrznego programu na serwerze).
  • Uruchomienie systemu bezpieczeństwa, który sprawia, że ​​serwer jest niedostępny z zewnątrz itp.


Jak chronić się przed przeciążeniem zasobów sprzętowych

  • Zwiększ wydajność sprzętu i miejsce na dysku. Gdy serwer działa w trybie normalnym, co najmniej 25-30% zasobów musi pozostać wolnych.
  • Korzystaj z systemów do analizy i filtrowania ruchu przed przesłaniem go na serwer.
  • Ogranicz wykorzystanie zasobów sprzętowych przez składniki systemu (ustaw limity).
  • Przechowuj pliki dziennika serwera na osobnym dysku.
  • Rozłóż zasoby na kilku niezależnych serwerach. Tak więc, jeśli jedna część ulegnie awarii, pozostałe pozostaną sprawne.

Luki w systemach operacyjnych, oprogramowaniu, firmware urządzenia

Istnieje niepomiernie więcej możliwości przeprowadzania takich ataków niż używanie zalania. Ich implementacja zależy od umiejętności i doświadczenia napastnika, jego zdolności do znajdowania błędów w kodzie programu i wykorzystywania ich dla własnej korzyści oraz ze szkodą dla właściciela zasobu.

Gdy haker odkryje lukę w zabezpieczeniach (błąd oprogramowania, który może zostać wykorzystany do zakłócenia działania systemu), wystarczy, że stworzy i uruchomi exploit - program, który wykorzystuje tę lukę.

Wykorzystywanie luk w zabezpieczeniach nie zawsze ma na celu spowodowanie jedynie odmowy usługi. Jeśli haker będzie miał szczęście, będzie mógł przejąć kontrolę nad zasobem i dysponować tym „darem losu” według własnego uznania. Na przykład może służyć do rozprzestrzeniania złośliwego oprogramowania, kradzieży i niszczenia informacji itp.

Metody przeciwdziałania wykorzystywaniu luk w oprogramowaniu

  • Instaluj na czas aktualizacje, które usuwają luki w systemach operacyjnych i aplikacjach.
  • Odizoluj wszystkie usługi administracyjne od dostępu osób trzecich.
  • Stosuj środki stałego monitorowania działania systemu operacyjnego serwera i programów (analiza behawioralna itp.).
  • Zrezygnuj z potencjalnie wrażliwych programów (darmowych, samodzielnie pisanych, rzadko aktualizowanych) na rzecz sprawdzonych i dobrze chronionych.
  • Korzystaj z gotowych środków ochrony systemów przed atakami DoS i DDoS, które istnieją zarówno w postaci systemów sprzętowych, jak i programowych.

Jak ustalić, czy zasób został zaatakowany przez hakera

Jeśli atakującemu uda się osiągnąć cel, nie można nie zauważyć ataku, ale w niektórych przypadkach administrator nie może dokładnie określić, kiedy się rozpoczął. Oznacza to, że czasami od początku ataku do zauważalnych objawów mija kilka godzin. Jednak podczas utajonej ekspozycji (do czasu, gdy serwer „położy się”), pojawiają się również pewne oznaki. Na przykład:

  • Nienaturalne zachowanie aplikacji serwerowych lub systemu operacyjnego (zawieszanie się, wyłączanie z błędami itp.).
  • Obciążenie procesora, pamięci i pamięci masowej gwałtownie wzrasta w stosunku do stanu wyjściowego.
  • Natężenie ruchu na jednym lub kilku portach znacznie wzrasta.
  • Istnieje wiele wywołań klientów do tych samych zasobów (otwarcie jednej strony serwisu, pobranie tego samego pliku).
  • Analiza logów serwera, firewalla i urządzeń sieciowych pokazuje dużą liczbę monotonnych żądań z różnych adresów, często kierowanych na konkretny port lub usługę. Zwłaszcza jeśli witryna jest skierowana do wąskiego grona odbiorców (na przykład rosyjskojęzycznych), a prośby pochodzą z całego świata. Jednocześnie jakościowa analiza ruchu pokazuje, że zapytania nie mają praktycznego znaczenia dla klientów.

Wszystko to nie jest 100% oznaką ataku, ale zawsze jest powodem do zwrócenia uwagi na problem i podjęcia odpowiednich środków ochronnych.

2021 wisemotors.ru. Jak to działa. Żelazo. Górnictwo. Kryptowaluta.